Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 313

En troisième lieu, une fois
que la méthode de chiffrement a été validée entre
les équipes «  sécurité  » des
parties, il ne faut pas oublier de
s'interroger sur la façon dont
seront sécurisées les clés de
chiffrement. Tout peut avoir
été minutieusement prévu
dans les moindres détails que
ce soit en interne ou dans la
relation avec le sous-traitant, si
l'analyse de la sécurité des clés
utilisées pour le chiffrement
(transfert et stockage) n'a pas
été prévu, les efforts peuvent
être réduits à néant. Car qui dit
prise de connaissance de la clé,
dis déchiffrement de toutes les
bases de données sans même
pouvoir détecter (du moins
facilement) ce détournement.

une entreprise  : définir l'organisation la plus appropriée,
celle qui fonctionnera en toute
hypothèse, définir les inputs et
outputs, les livrables, sensibiliser les employés afin qu'ils
reconnaissent une violation de
données personnelles, etc.

COMMENT CADRER
LE TRAITEMENT
DES VIOLATIONS
DE DONNÉES
PERSONNELLES AVEC
LES SOUS-TRAITANTS ?

Il est primordial de savoir
quelles personnes composeront l'équipe d'investigation
(juridique, sécurité, équipe
impactée) et l'équipe de
décision (le DPO, le directeur
du périmètre concerné, etc.).
Etre juge et parti n'est jamais
véritablement
recommandé
lorsqu'il s'agit de résoudre une
crise, d'où l'option de créer une
double équipe.

Formaliser une organisation
dédiée à la gestion des violations
de données personnelles n'est
pas une option, surtout compte
tenu des enjeux associés. Si
une violation de données
personnelles est remontée,
chaque acteur permanent de
la cellule qui va intervenir doit
connaître ses missions.
Pour bien gérer les besoins en
termes de remontées d'information de la part de son
sous-traitant, il est nécessaire
que l'organisation interne de
l'entreprise du traitement d'une
violation de données personnelles soit stable et connue.
Organisation interne
Une nouvelle fois, de la
rédaction du RGPD, découle
un
travail
opérationnel
d'équipe avec le duo inséparable
juridique/technique.
Ce sujet est l'un des plus
intéressants à déployer dans

Il ressort de la pratique qu'une
organisation qui distingue
investigation d'un côté et
décision de l'autre fonctionne
bien. Concrètement, il faut
savoir faire simple et efficace.
72h, délai imparti par l'article
33 du RGPD pour notifier
une violation de données
personnelles à l'autorité de
contrôle, est un délai très court,
surtout si le point de départ
commence le vendredi à midi.

De même, dans chaque
équipe, prévoir une multitude
de remplaçants est essentiel.
Une bonne organisation ne
doit jamais dépendre d'une
seule personne. Il faut prévoir
des suppléants opérationnels
pour chacune des fonctions
concernées.
La réunion de lancement de
la cellule d'investigation est
surtout l'occasion pour le
juridique de poser les premières
questions et pour la sécurité
de demander à apporter les
premières preuves et donner
les premières instructions. Il
faut en tant que juriste intervenir au début pour dire à l'équipe
métier ce qu'elle doit chercher
pendant qu'elle procède aux
analyses techniques. L'idée
EXPERTISES Septembre 2020

n'est pas de les noyer de
demandes juridiques mais
qu'ils pensent juste à pouvoir
apporter les premiers éléments
de fait au juriste, qui commencera l'analyse pour pouvoir
procéder à la notification à
l'autorité compétente requise
dans l'article 33 du RGPD. Puis
des points réguliers devront
être fixés avec le métier tout
au long des 72 heures pour
pouvoir prendre une décision
dans le délai imparti.
Un outil très utile au juriste
et au DPO est également
une méthodologie d'analyse
d'impact pour la vie privée
des personnes concernées.
Le RGPD demeure très vague
en employant des notions
de «  risque  » et de «  risque
élevé  ». Certaines institutions3 ont cependant élaboré
des recommandations qui
permettent aux entreprises
d'avoir une idée de méthodologie. Bien que perfectible, un
outil de calcul sur la base d'un
certain nombre de critères
peut être une véritable aide à
la décision dans un contexte
pas forcément évident à
gérer (stress, urgence). Le
recours à une méthodologie
pré-établie
permet
aussi
d'apporter un critère d'objectivité vis-à-vis d'un métier
qui n'est pas nécessairement
sur la même longueur d'onde,
surtout lorsqu'il s'agit de
lui rappeler que la décision
porte sur l'impact pour les
personnes concernées et non
l'impact pour les systèmes de
l'entreprise.
Déclinaison à la relation
contractuelle avec le
sous-traitant
Une annexe sécurité doit
être incluse dans les contrats
avec les sous-traitants et
intègre nécessairement un
aspect relatif aux violations
de données personnelles, afin
d'être conforme au RPGD.

313



Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia

Couverture
Editorial & Sommaire
FOCUS - DONNÉES PERSONNELLES : INCERTITUDE JURIDIQUE SUR LES FLUX TRANSATLANTIQUES
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - SMART CITY : INTÉRÊT GÉNÉRAL BY DESIGN
DOCTRINE
CONTRATS ET RGPD - POINTS DURS LIÉS À LA CYBERSÉCURITÉ
FISCALITÉ - UN RÉGIME ATTRACTIF POUR LES LOGICIELS
INNOVATION - DIGITAL FACTORY : STRUCTURE ET CONTRATS
SIGNATURE ÉLECTRONIQUE - ECLAIRAGE SUR LE « PARCOURS CLIENT »
RESPONSABILITÉ - LE RÈGLEMENT P2B : UNE OPPORTUNITÉ POUR LA LUTTE CONTRE LA CONTREFAÇON ?
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - DONNÉES PERSONNELLES : INCERTITUDE JURIDIQUE SUR LES FLUX TRANSATLANTIQUES
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 297
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 298
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 299
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 300
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 301
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 303
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 304
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - SMART CITY : INTÉRÊT GÉNÉRAL BY DESIGN
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 306
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 307
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 308
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 309
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 310
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS ET RGPD - POINTS DURS LIÉS À LA CYBERSÉCURITÉ
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 312
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 313
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 314
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 315
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - FISCALITÉ - UN RÉGIME ATTRACTIF POUR LES LOGICIELS
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 317
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - INNOVATION - DIGITAL FACTORY : STRUCTURE ET CONTRATS
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 319
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 320
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - SIGNATURE ÉLECTRONIQUE - ECLAIRAGE SUR LE « PARCOURS CLIENT »
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 322
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 323
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - RESPONSABILITÉ - LE RÈGLEMENT P2B : UNE OPPORTUNITÉ POUR LA LUTTE CONTRE LA CONTREFAÇON ?
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 325
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 326
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 327
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 328
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com