Cours RGPD PDF

Summary

Ce document couvre les aspects du RGPD, y compris la législation, l'actualité, les principes et les rôles relatifs aux problèmes des données personnelles et à la gestion des responsabilités et de la sécurité des données dans le cadre d'un système légal.

Full Transcript

PROTECTION DES
DONNÉES PERSONNELLES
–
RGPD

Stéphane KOUAKOU-KAN,
Juriste en conformité,
Spécialiste en Gouvernance et protection des données
Fondateur de Jurisconforme

Novembre 2024
LE MONDE DES DONNÉES
Connaître les principes généraux du RGPD
La licéité de traitement
Les droits des personnes et leur implication IT :
droit d’accès
droit de rectification
droit à l’effacement
droit à la limitation
droit à la notification
droit à la portabilité
droit d’opposition
Gestion des fournisseurs et sous-traitants et la détermination de la responsabilité juridique
Le consentement: recueillement et validité
Focus sur les cookies
Le rôle de DPO
Connaître le rôle de la cybersécurité et la protection des données dans l’application du RGPD
Connaître les impacts internationaux du RGPD dans l’échange de donnée à l’international
Schéma de flux de données
Transfert de données hors Union Européenne
Connaître les sanctions en cas de violation du RGPD
Contrôle de la CNIL, sanctions et poursuites
Notification en cas de crise
 ENJEUX
DE LA GOUVERNANCE DES
DONNÉES

Nov. 2022 A. VELIKOV / Document de travail
3
LE MONDE DES DONNÉES

Le Big Bang du Big Data
!

Selon les dernières estimations de Statista (un portail en ligne
de statistiques) , le volume de données numériques créées ou
répliquées à l'échelle mondiale a été multiplié par plus de
trente au cours de la dernière décennie, passant de 2
zettaoctets en 2010 à 64 zettaoctets en 2020 et estimé à 181
zettaoctets à l'horizon 2025, soit une croissance annuelle
moyenne de près de 40 % sur cinq ans.

NB: un zettaoctet équivaut à un milliard de téraoctets, soit
mille milliards de gigaoctets.
LE MONDE DES DONNÉES

Activités en ligne
De plus en plus, les personnes publient des informations les concernant sur internet au un niveau mondial.
Exemples:
 500 millions de tweets par jour ;
 95 millions de photos et vidéos sont publiées chaque jour sur Instagram;
 Chaque jour sur Facebook: 2,5 milliards de contenus sont échangés, 2,7 milliards de boutons « J'aime » sont cliqués
et 300 millions de photos sont chargées, 70 000 requêtes demandées
 40 milliards de données personnelles piratées ou perdues en 2021, selon un rapport publié par la société
de cybersécurité américaine Tenable.

Pour aller plus loin :
Article de Wordstream : 39 Twitter Statistics Marketers Need to Know in 2024

Article de BDM: Chiffres Instagram – 2024

Article de Lemonde informatique: Facebook supporte 500 To de nouvelles données par jour

Article de 20Minutes : Plus de 40 milliards de données personnelles ont été piratées en 2021, selon une
étude
 ENJEUX ÉCONOMIQUES DE LA DONNÉE
Classement des entreprises mondiales par capitalisation boursière
2008 2024

Classement des plus grandes entreprises à l'international au 24 mai 2024,
Le Financial Times Global 500 , classement annuel selon leur valeur de marché (en milliards de dollars des États-Unis)
des plus grandes entreprises du monde de 2008
Pour aller plus loin :
Classement des 100 plus grandes entreprises à l'international au 24 mai 2024, selon leur valeur de marché:
https://fr.statista.com/statistiques/564990/plus-grandes-societes-dans-le-monde-par-valeur-de-marche/
ENJEUX JURIDIQUES DE LA DONNÉE

L'évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux juridiques pour
encadrer la gouvernance de la donnée. Les technologies ont transformé à la fois l'économie et les
rapports sociaux, et elles devraient encore faciliter le libre flux des données.

Les technologies permettent tant aux entreprises privées qu'aux autorités publiques d'utiliser les
données comme jamais auparavant dans le cadre de leurs activités.

Ces évolutions requièrent un cadre règlementaire pour la bonne gouvernance, la protection et la
sécurité à la fois des données et les technologies elles-mêmes sur le plan juridique, organisationnel et
technique.
 HISTORIQUE
DU RGPD

Nov. 2022 A. VELIKOV / Document de travail
8
HISTORIQUE

 En mars 1970 :
INSEE (Institut national de la statistique et des études économiques) annonce le projet du
développement d’un fichier-répertoire dénommé SAFARI (Système automatisé pour les fichiers
administratifs et répertoires des individus) de l’ensemble des fichiers de l'administration de façon à
faciliter leur gestion, leur contrôle et les rapprochements avec d'autres fichiers via un identifiant
unique. Cet identifiant correspond au numéro dit de "Sécurité sociale".

 Le 21 mars 1974, un article du journal, Le Monde intitulé « SAFARI ou la chasse aux Français » :
il dénonça le caractère liberticide d'un dispositif qui allait permettre à l'administration de
rassembler facilement toute l'information dont elle disposait sur chacun des individus présents dans
ses fichiers.

 Débats et vive émotion vive émotion dans l'opinion publique :
le projet SAFARI d’informatisation des administrations puis des entreprises soulève des débats sur la
protection de la vie privée.

Pour aller plus loin :
L’article de Jacques Desabie dans la revue de l’Insee : https://www.persee.fr/doc/estat_0336-1454_1970_num_10_1_1930

Archive article Le Monde : https://www.lemonde.fr/archives/article/1974/03/21/une-division-de-l-informatique-est-creee-a-la-chancellerie-safari-ou-la-chasse-aux-
francais_3086610_1819218.html

Archives de vidéos :

https://sites.ina.fr/cnil/focus/chapitre/2/medias/CAF97060610

https://sites.ina.fr/cnil/focus/chapitre/2/medias/CAF88045000
HISTORIQUE

 Dès le 29 mars 1974 : suspension du projet et création d’une commission « Informatique et libertés » :
une circulaire du Premier ministre de l'époque, Pierre Messmer, suspend le projet et nommait une
commission « Informatique et libertés » chargée de proposer un cadre d'utilisation de l'informatique
respectueux de la vie privée et des libertés individuelles.

 Fin 1975 : Rapport de la commission « Informatique et libertés » : proposition d’une loi sur
l’informatique et les libertés.

 6 janvier 1978 : adoption de la loi Informatique et Libertés :
Cette loi prévoit que le développement de l'informatique doit se faire dans le respect de la vie privée et
des libertés individuelles. Elle crée par la même occasion la CNIL (Commission Nationale de
l'Informatique et des Libertés) chargée de veiller à ce que l’informatique soit au service du citoyen et
qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée et
informatique, ni aux libertés individuelles ou publiques.

Pour aller plus loin :
L’article de Jacques Desabie dans la revue de l’Insee : https://www.persee.fr/doc/estat_0336-1454_1970_num_10_1_1930

Archive article Le Monde : https://www.lemonde.fr/archives/article/1974/03/21/une-division-de-l-informatique-est-creee-a-la-chancellerie-safari-ou-la-chasse-aux-
francais_3086610_1819218.html

Archives de vidéos :

https://sites.ina.fr/cnil/focus/chapitre/2/medias/CAF97060610

https://sites.ina.fr/cnil/focus/chapitre/2/medias/CAF88045000
HISTORIQUE

1978 1995 2004

Suite à l’affaire Safari
Loi du 6 janvier 1978 dite Informatique et Directive 95/46/CE
Libertés (LIL) 1 texte pour La directive est transposée en
15 Etats = 15 interprétations ! droit français
La CNIL est instituée par la Loi Informatique et
Libertés du 6 janvier 1978, avec pour mission
générale de veiller à ce que « l’informatique
ne porte atteinte ni à l'identité humaine, ni aux
droits de l'homme, ni à la vie privée, ni aux
libertés individuelles ou publiques » : autorité de
contrôle mais aussi d’accompagnement de la
mise en place de la loi.

Pour aller plus loin :
Loi Informatique et Libertés en vigueur aujourd’hui : https://www.legifrance.gouv.fr/loda/id/LEGIARTI000037822962/2019-06-01/#LEGIARTI000037822962

Directive 95/46/CE : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:31995L0046
HISTORIQUE
Surveillance massive dans le monde: affaires Edward Snowden

Dans la nuit du 5 au 6 juin 2013, le quotidien britannique The
Guardian publie sur son site Internet une révélation inédite de
l’histoire des services de renseignement américains.

Edward Snowden, un ancien informaticien de la NSA, l'agence de
sécurité américaine, révèle les programmes de surveillance mis en
place pour surveiller illégalement de nombreuses personnes dans
le monde entier.

Pour aller plus loin :

Voir un reportage de France 24: Surveillance de masse : "Big Brother" toujours à l'écoute
CNIL: L'affaire Snowden : tous espionnés sur Internet ?
 SURVEILLANCE MASSIVE DANS LE MONDE: RÉVÉLATIONS
Le scandale Cambridge Analytica

En 2014, une application tierce sur Facebook, "This Is Your Digital Life", a permis à Cambridge Analytica de
récolter les données personnelles de près de 87 millions d'utilisateurs du réseau social, ainsi que celles de
leurs amis. Ces données comprenaient des informations sensibles telles que les préférences politiques, les
croyances religieuses et les traits de personnalité.

À partir de ces données, Cambridge Analytica a créé des profils psychologiques très détaillés des
utilisateurs, leur permettant de cibler des messages politiques personnalisés et de manipuler l'opinion
publique.

Les données ainsi collectées ont été utilisées pour influencer le résultat d'élections majeures, notamment
l'élection présidentielle américaine de 2016 et le référendum sur le Brexit au Royaume-Uni.

Pour aller plus loin :

Scandale Cambridge Analytica : 87 millions de comptes Facebook détournés : https://youtu.be/d7TFkc15Mq8?si=-2hYPYIK7ykNh4Ud

The Great Hack documentaire disponible sur Netflix

Un scandale fait chuter Facebook : l'affaire Cambridge Analytica:
https://fr.euronews.com/2018/03/20/un-scandale-fait-chuter-facebook-l-affaire-cambridge-analytica
HISTORIQUE

2016 2018
RGPD: Adopté RGPD : Applicable
le 27 avril 2016 directement dans tous les
HARMONISATION états membres
28 Etats membres Le 25 mai 2018

Le Règlement Général sur la Protection des Données (RGPD), règlement européen relatif
à la protection des personnes physiques à l’égard du traitement de données à caractère
personnel, a été adopté le 27 avril 2016.

Pour aller plus loin :
Règlement Général sur la Protection des Données ( RGPD) : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679
 LOGIQUE
DU RGPD

Nov. 2022 A. VELIKOV / Document de travail
15
LOGIQUE DU RGPD

Renversement
Renversement de la charge de la preuve --------------------------------------------
-----------
La CNIL 25 mai Les organismes doivent prouver leur
doit prouver la non- 2018 conformité à la CNIL
conformité des organismes

 Le RGPD confirme et renforce les principes de base relatifs aux traitements de données personnelles.
 Cadre unifié au niveau européen
 Les droits des personnes sont renforcés (information, consentement, accès, effacement,…)
 Création du Délégué à la Protection des Données (DPD) en anglais Data Protection Officer (DPO) (anciennement CIL)
comme interlocuteur privilégie en matière de protection des données
 Champ d’application large: le RGPD s'applique au traitement des données à caractère personnel effectué dans le cadre
des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le
traitement ait lieu ou non dans l'Union. Il n’y a aucune exception à l’application du RGPD : tout organisme privé ou public,
à but lucratif ou non, quel que soit le domaine d’activité, est concerné.

Pour aller plus loin :
Considérants du RGPD

Article 2 du RGPD: Champ d'application matériel

Article 3 du RGPD: Champ d'application territorial
 DÉFINITIONS
DU RGPD

Nov. 2022 A. VELIKOV / Document de travail
17
 DÉFINITIONS

 Donnée à caractère personnel: Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
 Traitement de données : Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données
personnelles, quel que soit le procédé utilisé.

 Finalité du traitement: La finalité du traitement est l’objectif principal de l’utilisation de données personnelles.

 Responsable de traitement: Le responsable de traitement est la personne morale (entreprise, commune, association, etc.) ou physique qui
détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser.

 Sous-traitant: Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un
autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation.

Pour aller plus loin :
Article 4 du RGPD
LES DONNÉES À CARACTÈRE PERSONNEL

Catégories de données Exemples de données à caractère personnel :

Nom
Données
Adresse IP
biométriques

N° carte de
N° téléphone
paiement
Donnée
personnelle
N°
Matricule immatriculatio
n

N° Client / FID Photographie
Date de
naissance

Pour aller plus loin :
Voir la vidéo de la CNIL: https://www.cnil.fr/fr/definition/donnee-personnelle
 QUELQUES ILLUSTRATIONS:
DONNÉES/TRAITEMENT/OBJECTIF

Géolocalisation Empreinte digitale
Photo d’une personne
= =
=
Collecte – Flotte de véhicule avec Recueil – Pointeuse biométrique
Diffusion – Organigramme –
GPS =
Trombinoscope
= Gestion des accès
=
Suivi de la position du véhicule Communication interne ou
en temps réel externe

Adresse e-mail Vidéo d’une personne
Données professionnelles
= =
=
Stockage – Adresse professionnelle Enregistrement – Vidéosurveillance
Collecte, tri et archivage –
avec nom et prénom =
Dossier candidat / prospect
= Sécurité des biens et des
=
Envoi d’informations, de personnes
Recrutement / prospection
documents dématérialisés
 PRINCIPES
DU RGPD
Nov. 2022 A. VELIKOV / Document de travail 21
 PRINCIPES RELATIFS AU TRAITEMENT DES DONNÉES À CARACTÈRE
PERSONNEL

 Principes de Licéité ( un focus ci-après), Loyauté ( donner des informations sur les modalités de traitement), Transparence (Le principe de
transparence du RGPD exige que toute information ou communication relative au traitement de données à caractère personnel soit concise, transparente,
compréhensible et aisément accessible en des termes simples et clairs);

 Principe de limitation des finalités: les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées
ultérieurement d'une manière incompatible avec ces finalités;

 Principe de minimisation des données: adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont
traitées;

 Principe d’ exactitude : Les données doivent être exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que
les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder;

 Principe de limitation de la conservation des données: les données personnelles sont conservées pendant une durée n'excédant pas celle
nécessaire au regard des finalités pour lesquelles elles sont traitées; sauf si elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à
des fins de recherche scientifique ou historique ou à des fins statistiques

 Principe d’intégrité et confidentialité: les données sont traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y
compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle.

Pour aller plus loin :
Article 5 du RGPD
 FOCUS SUR LA LICÉITÉ

Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

 Le consentement: la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

 L’exécution d’un contrat: le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de
mesures précontractuelles prises à la demande de celle-ci;

 Le respect d'une obligation légale: le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est
soumis;

 La sauvegarde des intérêts vitaux: le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre
personne physique;

 L’exécution de mission d'intérêt public: le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de
l'autorité publique dont est investi le responsable du traitement;

 L’intérêts légitimes: le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins
que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère
personnel, notamment lorsque la personne concernée est un enfant.

Pour aller plus loin :
Article 6 du RGPD
 OBLIGATIONS ET DROITS
DU RGPD
Nov. 2022 A. VELIKOV / Document de travail 24
 LES GRANDES OBLIGATIONS DU RGPD

Sécurité Tenue de registres Désignation d’un DPO
Sécurité physique et informatique, Preuves de la conformité Preuves de la conformité
Confidentialité des données
Informe et conseille l’organisation
Registre des traitements
Gestion des accès aux locaux, Tient les registres, contact avec la
Registre des demandes d’exercice de
Gestion des habilitations aux outils CNIL
droits
Sensibilisation du personnel Désignation obligatoire dans certains
Registre des violations de données
cas

Co-responsabilité Analyse d’impact Principe de non transfert
du responsable de traitement et des du responsable de traitement et des sous- hors UE
sous-traitants traitants ou régime d’équivalence

Traitements à risque élevé pour les DP
Extension de la responsabilité au Principe de non-transfert,
Obligatoire en cas de traitement de
sous-traitant Sauf niveau de protection équivalent
données sensibles

Pour aller plus loin :
Chapitre IV et V du RGPD
LES DROITS DE LA PERSONNE CONCERNÉE PAR LES TRAITEMENTS

Droits pré-RGPD Droits nouveaux
Le droit d’accès Le droit à l’oubli (déréférencement)
Le droit de rectification
Le droit d’opposition
Le droit à la portabilité des données
Le droit à l’oubli (effacement) Le droit d’opposition au profilage
Le droit à la limitation
Le droit à la notification

Pour aller plus loin :
Chapitre III du RGPD
LES SIX GRANDS REFLEXES DU RGPD
 1 – Participez à la mise en œuvre et respectez les mécanismes et procédures internes d’Accountability ( Responsabilisation): L’accountability désigne l’obligation
pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

 2- Ne collectez que les données vraiment nécessaires pour atteindre votre objectif : Les données sont collectées pour un but bien déterminé et légitime et ne sont pas
traitées ultérieurement de façon incompatible avec cet objectif initial. (le principe de finalité et le principe de minimisation)

 3- Soyez transparent: Les personnes dont les données sont traitées doivent être clairement informées de l’utilisation qui sera faite de leurs données dès leur collecte. Les
données ne peuvent en aucun cas être collectées à leur insu. Les personnes doivent également être informées de leurs droits et des modalités d’exercice de ces droits.

 4- Organisez et facilitez l'exercice des droits des personnes: Vous devez organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les
meilleurs délais à ces demandes de consultation ou d’accès, de rectification ou de suppression des données, voire d’opposition, sauf si le traitement répond à une obligation légale
(par exemple, un administré ne peut s’opposer à figurer dans un fichier d’état civil). Ces droits doivent pouvoir s’exercer par voie électronique à partir d’une adresse dédiée de
préférence ou par tout moyen.

 5- Fixez des durées de conservation: Vous ne pouvez pas conserver les données indéfiniment. Elles ne sont conservées en « base active », c’est-à-dire la gestion courante, que le
temps strictement nécessaire à la réalisation de l’objectif poursuivi. Elles doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales
applicables en matière de conservation des archives publiques.

 6- Sécurisez les données et identifiez les risques: Vous devez prendre toutes les mesures utiles pour garantir la sécurité des données : sécurité physique ou sécurité
informatique, sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et droits d’accès informatiques. Cela consiste aussi à s’assurer que seuls les tiers
autorisés par des textes ont accès aux données. Ces mesures sont adaptées en fonction de la sensibilité des données ou des risques qui peuvent peser sur les personnes en cas
d’incident de sécurité.

Pour aller plus loin :

27
Les six reflexes selon la CNIL: https://www.cnil.fr/fr/comprendre-le-rgpd/les-six-grands-principes-du-rgpd
 LE RÔLE DU DPO

Le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent.
Il est chargé de piloter la mise en conformité au RGPD.
Sa désignation est obligatoire dans certains cas. Sous réserves de certaines conditions, un délégué, interne ou
externe, peut être désigné pour plusieurs organismes.
Pour garantir l’effectivité de ses missions, le délégué doit :
disposer de qualités professionnelles et de connaissances spécifiques ;
bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant
d’exercer efficacement ses missions.

Pour aller plus loin :
Selon la CNIL: https://www.cnil.fr/fr/passer-laction/le-delegue-la-protection-des-donnees-dpo
28
 SANCTIONS
DU RGPD
Nov. 2022 A. VELIKOV / Document de travail 29
 SANCTIONS

 Sanctions financières : jusqu’à 20M€ ou 4% du chiffre d’affaires annuel mondial
 Sanctions pénales : jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende
 Récupération et portabilité des données
 Les sanctions peuvent être assorties d’une obligation de publication, dans ce cas
les sanctions peuvent porter atteinte à la réputation ou à l’image. Les décisions
de la CNIL peuvent être publiées sur son site internet, ses réseaux sociaux, etc. )

Pour aller plus loin :
Quelques exemples de sanctions : https://www.cnil.fr/fr/thematique/cnil/sanctions
Article 83du RGPD
Articles 226-16 à 226-24 du code pénal
Articles L224-42-1 à L224-42-4 Code de la consommation
 MISE EN CONFORMITÉ AU
RGPD :
PAR OÙ COMMENCER ?
Nov. 2022 A. VELIKOV / Document de travail 31
 CARTOGRAPHIE DE LA DONNÉE: CYCLE DE VIE DE LA DONNÉE
D’une manière générale, l’image de l’être humain les données naissent, vivent et disparaissent.

1. Naissance ou entrée de la 2. En cours de vie: elles sont
donnée traitées 3. Disparition de la donnée
(Création, collecte, enregistrement, ( organisation, conservation, utilisation, (Suppression, effacement, etc. )
etc.) communication par transmission ou
diffusion, etc. )
La vie de la donnée s’observe en 4 temps :
 base active: période de l’utilisation courante de la donnée
 En phase d’archivage intermédiaire : Période où on n’utilise plus la donnée. On
la conserve avec restriction des personnes qui y ont accès
 En phase d’archivage définitif: la donnée peut être archivée de manière pérenne
ou définitive
 Supprimée définitivement.
 REGISTRE DE TRAITEMENTS DE DONNÉES

Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.
Il permet de recenser les traitements de données et de disposer d’une vue d’ensemble de ce qu’une entité fait des données
personnelles.
Il doit refléter la réalité de vos traitements de données personnelles et permettre d’identifier précisément :
les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
les catégories de données traitées,
à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
combien de temps vous les conservez,
comment elles sont sécurisées.

Pour aller plus loin :
Article 30 du RGPD
 REGISTRE DE TRAITEMENTS DE DONNÉES

Le modèle de registre simplifié de la CNIL est disponible sur son site internet :
https://www.cnil.fr/fr/RGPD-le-registre-des-activites-de-traitement

Pour aller plus loin :
Article 30 du RGPD
 SÉCURISATION DES DONNÉES
Même si le risque zéro n’existe pas en informatique, on peut prendre les mesures nécessaires pour sécuriser les
données.
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données traitées et des risques qu
pèsent sur les personnes en cas de d’incident.

Pour évaluer le niveau de sécurité des données personnelles, on peut se poser quelques questions :
Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
Les accès aux locaux sont-ils sécurisés ?
Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?
Pour aller plus loin :
Les Dix règles d'or préventives: https://cyber.gouv.fr/dix-regles-dor-préventives
Site internet de l’ANSSI: https://cyber.gouv.fr/
 SÉCURISATION DES DONNÉES:
LES 10 RÈGLES D’OR DE LA SÉCURITÉ
 1- Séparez vos usages privés de ceux liés au travail. n’utilisez pas vos moyens de communication personnels (mail, téléphone, services de stockage en ligne, clé usb, etc.)
dans le cadre professionnel, et inversement.

 2- Mettez à jour vos outils numériques (ordinateur, smartphone, application, etc.).

 3- Choisissez des mots de passe forts. ils doivent être longs et différents de vos mots de passe personnels, ne pas comprendre d'informations personnelles et rester
secrets.

 4- En déplacement, prenez garde à vos équipements et n'emportez que le strict nécessaire.

 5- Verrouillez votre ordinateur à chacune de vos absences et placez vos supports de stockage dans un mobilier adapté au niveau de sensibilité.

 6- Protégez votre messagerie. faites preuve de vigilance avant d'ouvrir les pièces jointes et ne cliquez pas sur les liens douteux.

 7- Prenez soin de vos informations personnelles en ligne. préservez votre identité numérique en vous montrant vigilant sur internet et les réseaux sociaux.

 8 - Ne vous connectez pas sur des réseaux non maîtrisés (réseaux wi-fi publics, bornes de recharge usb, etc.).

 9- Faites attention lors de vos échanges téléphoniques ou en visioconférence. la confidentialité des conversations n'est pas assurée.

 10- Eteignez votre smartphone lorsque vous participez à des réunions sensibles et limitez la transmission de données (géolocalisation, bluetooth, autorisations des
applications, etc.).

Pour aller plus loin :
Les Dix règles d'or préventives: https://cyber.gouv.fr/dix-regles-dor-préventives
Site internet de l’ANSSI: https://cyber.gouv.fr/
SÉCURISATION DES DONNÉES:
LES 5 MESURES EN CAS D'ATTAQUE SUSPECTÉE

 1 - Laissez les équipements allumés et n'intervenez pas davantage.

 2 - Déconnectez les équipements suspects du réseau (wifi ou ethernet).

 3 - Ne connectez pas de nouvel appareil sur le réseau.

 4 - Contactez immédiatement votre service informatique ou votre prestataire.

 5 - Notifiez les autorités compétentes : ▶ cnil ( 72 heures) ; ▶ anssi ; ▶
cybermalveillance.gouv.fr ; ▶ police et gendarmerie

Pour aller plus loin :
Site internet de l’ANSSI: https://cyber.gouv.fr/
Que faire en cas de cyberattaque ? 5 consignes à suivre: https://www.francenum.gouv.fr/guides-et-conseils/protection-contre-les-
risques/cybersecurite/que-faire-en-cas-de-cyberattaque-5
QUESTIONS
EVALUATIONS
50% contrôle continu (format apprécié: contrôle de connaissance ou cas pratique)
50% partiel de fin de semestre
 FIN
Stéphane KOUAKOU-KAN,
Mes contacts:
Adresse mail: [email protected]
Numéro de téléphone: 0753690034
LinkedIn: Le Juriste Conforme 40