Cette manifestation est ouverte à tous, sur cooptation (merci de nous indiquer dans votre inscription la raison de votre intérêt pour ce sujet très spécifique).
 Attention, places en nombre limité
 Un seul représentant par entité
 Une pièce d’identité sera exigée à l’entrée
 Priorité aux non-membres AFCDP (les adhérents ont bénéficié d’une intervention sur ce thème lors de la récente Université).

 Merci de vous inscrire dès maintenant par email charge-mission[signe AT] afcdp.net

Dernière minute ! La Proposition de Loi Détraigne Escoffier passera en première lecture au Sénat l’après-midi même !

Accueil 9h00 - Prise de parole 9h15 - Clôture de conférence 12h30

Programme :

 9h15 Ouverture de la conférence.

Paul-Olivier GIBERT, Correspondant Informatique & Libertés, Déontologue, Directeur de la Sécurité (AG2R La Mondiale) et Président de l’AFCDP

 9h30 Data Breach : Le paysage légal (actuel et à venir)

Pascale GELLY, Avocat, Administrateur AFCDP et membre du Board IAPP Europe

 9h40 Que peut-on apprendre de l’étranger ?

Session animée par Maître Pascale Gelly

* L’expérience anglo-saxonne : Bojana BELLAMY, Director of Data Privacy, Legal, Accenture. Membre du Board de l’IAPP - Description de ce qui se fait aux USA et ailleurs dans le Monde

* La vision de l’Europe : Rosa BARCELO, Legal Adviser at European Data Protection Supervisor – La vision de l’Europe et la notification dans le paquet Telecom et l’extension possible aux autres secteurs

* Notre voisin le plus proche : l’Allemagne : Christoph KLUG, Délégué général GDD, Pourquoi l’Allemagne a-t-elle introduit cette disposition dans sa nouvelle loi ?

 10h50 Quels seraient les acteurs impliqués ?

Session animée par Jérôme SAIZ, journaliste

* Le rôle de la CNIL : Gwendal LEGRAND, Responsable de l’expertise technique de la CNIL

* La notification appliquée aux données de santé : Jeanne BOSSI, Secrétaire générale de l’ASIP Santé

* Les FAI sont-ils prêts ? Eric WIATROWKSI (pressenti), Directeur Délégué à la Sécurité, Chief Security Officer, Orange Business Services

* Un intérêt commun avec l’Intelligence économique ? Jean-Marc BEIGNON, Expert en Intelligence économique, auteur de « Intelligence économique et entreprise ; comprendre son environnement pour agir »

* Le rôle de l’ANSSI (Intervenant à confirmer)

* Perte de données personnelles : Une entreprise témoigne. Christian PARDIEU, Privacy Lead Lawyer de GE en France et CIL de GE Real Estate, membre AFCDP

 12h05 Lancement du groupe de travail AFCDP « Notification des atteintes aux traitements de données personnelles »

Session animée par Jérôme SAIZ, journaliste

Eric DOYEN, RSSI et Responsable de la Sécurité de l’Information du groupe Crédit Immobilier de France, Président du Club 27001, Membre AFCDP

Bernard FORAY, DSSI et CIL Casino Information Technology, Membre AFCDP

Pascale GELLY, Avocat, Administrateur AFCDP

Contexte :

En juin 2009, les Sénateurs Détraigne et Escoffier ont inséré dans leur rapport « Vie privée à l’heure des mémoires numériques » une disposition visant, a minima, à créer « une obligation de notification des failles de sécurité à la CNIL, des critères et des seuils devant être définis pour ne pas la submerger. Cette obligation pèserait sur tous les responsables de traitement ». Les sénateurs ajoutent que « bien maîtrisée et encadrée, l’obligation de notification des failles de sécurité peut être une incitation forte au renforcement de la sécurité des données ».

Ils ont intégré cette mesure dans leur proposition de loi.

Chez nos voisins, après la Grande-Bretagne, l’Allemagne vient d’opter pour la formule - comme la majorité des états américains - et les Pays-Bas s’y préparent.

Le Contrôleur européen de la protection des données et le G 29 se sont déclarés très favorables à cette proposition.

Le paquet Télécom comporte une telle obligation pour les FAI tandis qu’aux myriades de lois appliquées aux USA, la dernière version d’HIPPA ajoute la même contrainte à tout acteur du secteur santé.

 Etes-vous prêts à une telle éventualité ?
 Que faites-vous aujourd’hui en cas de fuite de données personnelles avérée ?
 Quel serait votre apport en tant que CIL sur ce point qui rejoint les articles 34 et 35 de la Loi Informatique et Libertés ?
 Combien de temps faudrait-il à votre entité pour se mettre en conformité ?
 Cette obligation s’appliquerait-elle également au support papier ?
 Qui décidera qu’il faut notifier ?
 Le chiffrement des données permettra-t-il "d’échapper" à la notification ?
 La première entreprise qui notifiera ne risque-t-elle pas une "mise au pilori" ?
 etc.

Questionnaire "Notification des Atteintes aux Traitements de Données Personnelles"

Quelle est votre position sur cette proposition ?

Pour améliorer l’intérêt de cette conférence mais surtout contribuer aux travaux effectifs qui vont suivre très rapidement, nous vous prions de bien vouloir apporter votre pierre à l’édifice et nous retourner le questionnaire joint.

Les résultats seront présentés lors de la manifestation du 23 mars.

Objectifs du nouveau groupe de travail :

Deux objectifs principaux :
 se préparer à cette éventualité, en apprécier la difficulté (les identifier), à collecter et regrouper les référentiels étrangers (surtout européens) afin de définir une démarche et un budget prévisionnel ;
 élaborer des recommandations pour les CIL sur l’approche à tenir, même en l’absence d’obligation.

Les travaux de ce groupe pourront être utiles au Conseil d’administration de l’AFCDP ;
 pour définir sa position et émettre une opinion sur l’efficacité de l’approche ;
 pour se préparer à une éventuelle audition dans le cadre des travaux préparatoires au décret ;
 pour faire reconnaître au CIL le rôle pivot en ce domaine.

La participation suivie aux travaux de l’AFCDP s’entend en qualité de membre. Comment adhérer ?