">

L’après-midi même, le Sénat a voté sans vote contraire la "petite loi" qui comporte bien dans son article 7, l’obligation de notification : "En cas de violation...le responsable de traitement avertit sans délai le correspondant informatique et libertés... Le responsable de traitement, avec le concours du correspondant informatique et libertés, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection...Le correspondant informatique et libertés en informe la CNIL. Si la violation a affecté les données à caractère personnel d’une ou plusieurs personnes physique, le responsable de traitement en informe également ces personnes."

Programme :

Paul-Olivier GIBERT, Correspondant Informatique & Libertés, Président de l’AFCDP

- Data Breach : Le paysage légal (actuel et à venir)

Pascale GELLY, Avocat, Administrateur AFCDP et membre du Board IAPP Europe

- Que peut-on apprendre de l’étranger ?

Pascale GELLYSession animée par Maître Pascale Gelly

Bojana BELLAMY* L’expérience anglo-saxonne : Bojana BELLAMY, Director of Data Privacy, Legal, Accenture. Membre du Board de l’IAPP - Description de ce qui se fait aux USA et ailleurs dans le Monde

* La vision de l’Europe : Rosa BARCELO, Legal Adviser at European Data Protection Supervisor – La vision de l’Europe et la notification dans le paquet Telecom et l’extension possible aux autres secteurs Rosa BARCELO

* Pourquoi l’Allemagne a-t-elle introduit cette disposition dans sa nouvelle loi ?

- Quels seraient les acteurs impliqués ?

Session animée par Jérôme SAIZ, journaliste

Gwendal LE GRAND* Le rôle de la CNIL : Gwendal LEGRAND, Responsable de l’expertise technique de la CNIL

* La notification appliquée aux données de santé : Jeanne BOSSI, Secrétaire générale de l’ASIP Santé

Eric WIATROSWKI* Les FAI sont-ils prêts ? Eric WIATROWKSI, Directeur Délégué à la Sécurité, Chief Security Officer, Orange Business Services

Jean-Marc BEIGNON* Un intérêt commun avec l’Intelligence économique ? Jean-Marc BEIGNON, Expert en Intelligence économique, auteur de « Intelligence économique et entreprise ; comprendre son environnement pour agir »

* Perte de données personnelles : Une entreprise témoigne. Christian PARDIEU, Privacy Lead Lawyer de GE en France et CIL de GE Real Estate, membre AFCDP

- Lancement du groupe de travail AFCDP « Notification des atteintes aux traitements de données personnelles »

Session animée par Bruno RASLE, Délégué général de l’AFCDP

Eric DOYENEric DOYEN, RSSI et Responsable de la Sécurité de l’Information du groupe Crédit Immobilier de France, Président du Club 27001, Membre AFCDP

Bernard FORAYBernard FORAY, DSSI et CIL Casino Information Technology, Membre AFCDP

Pascale GELLY, Avocat, Administrateur AFCDP

Contexte :

En juin 2009, les Sénateurs Détraigne et Escoffier ont inséré dans leur rapport « Vie privée à l’heure des mémoires numériques » une disposition visant, a minima, à créer « une obligation de notification des failles de sécurité à la CNIL, des critères et des seuils devant être définis pour ne pas la submerger. Cette obligation pèserait sur tous les responsables de traitement ». Les sénateurs ajoutent que « bien maîtrisée et encadrée, l’obligation de notification des failles de sécurité peut être une incitation forte au renforcement de la sécurité des données ».

Ils ont intégré cette mesure dans leur proposition de loi.

Chez nos voisins, après la Grande-Bretagne, l’Allemagne vient d’opter pour la formule - comme la majorité des états américains - et les Pays-Bas s’y préparent.

Le Contrôleur européen de la protection des données et le G 29 se sont déclarés très favorables à cette proposition.

Le paquet Télécom comporte une telle obligation pour les FAI tandis qu’aux myriades de lois appliquées aux USA, la dernière version d’HIPPA ajoute la même contrainte à tout acteur du secteur santé.

- Etes-vous prêts à une telle éventualité ?
- Que faites-vous aujourd’hui en cas de fuite de données personnelles avérée ?
- Quel serait votre apport en tant que CIL sur ce point qui rejoint les articles 34 et 35 de la Loi Informatique et Libertés ?
- Combien de temps faudrait-il à votre entité pour se mettre en conformité ?
- Cette obligation s’appliquerait-elle également au support papier ?
- Qui décidera qu’il faut notifier ?
- Le chiffrement des données permettra-t-il "d’échapper" à la notification ?
- La première entreprise qui notifiera ne risque-t-elle pas une "mise au pilori" ?
- etc.

62% des participants sont favorables à la Notification

Quelle est votre position sur cette proposition ?

Pour améliorer l’intérêt de cette conférence et pour contribuer aux travaux effectifs qui vont suivre très rapidement, l’AFCDP a effectué une étude sur bas de questionnaire.

Les résultats ont été présentés lors de la manifestation.

Objectifs du nouveau groupe de travail :

Deux objectifs principaux :
- se préparer à cette éventualité, en apprécier la difficulté (les identifier), à collecter et regrouper les référentiels étrangers (surtout européens) afin de définir une démarche et un budget prévisionnel ;
- élaborer des recommandations pour les CIL sur l’approche à tenir, même en l’absence d’obligation.

Les travaux de ce groupe pourront être utiles au Conseil d’administration de l’AFCDP ;
- pour définir sa position et émettre une opinion sur l’efficacité de l’approche ;
- pour se préparer à une éventuelle audition dans le cadre des travaux préparatoires au décret ;
- pour faire reconnaître au CIL le rôle pivot en ce domaine.

Première réunion : mardi 8 juin 2010 après-midi, au siège du Crédit Immobilier de France.

La deuxième réunion sera par contre strictement réservée aux Membres AFCDP car elle comprendra, le jeudi 24 juin, l’audition de CPO (Chief Privacy Officer) éminents de grandes sociétés nord-américaines.

La participation suivie aux travaux de l’AFCDP s’entend en qualité de membre. Comment adhérer ?

Documents associés à la conférence :

Présentation des intervenants
Déroulement de la conférence
Présentation de Bojana Bellamy
Présentation de Rosa Barcelo
Cadre légal futur proposé
Article de fond sur la notification des "Data Breach"

La Presse en parle

- Les failles de sécurité s’étalent sur la place publique, Global Security Mag, Emmanuelle Lamendé

- Le Sénat adopte la notification obligatoire des failles de sécurité en entreprise, 01NetPro, par Stéphane Bellec





Agenda

12 septembre 2017
Réunion dédiée aux Départements

6 octobre 2017
Réunion AFCDP à Toulouse

12 octobre 2017
Réunion du groupe "Données de Santé"

19 octobre 2017
Réunion du groupe "Normandie"

19 octobre 2017
Réunion du groupe "Poitou Charentes"