Virginie Bensoussan-Brulé anime une Conférence Lexing intitulée « Violations de données : comment réagir face à une faille de sécurité ? », le mercredi 16 mars 2022 de 9h à 11h en visioconférence (Zoom).
L’amplification des cyberattaques
Les cyberattaques dues à des failles de sécurité sont un phénomène qui prend de l’ampleur ; à tel point que la Cnil a instauré depuis l’été dernier, une chronique intitulée « La violation du trimestre ». Il s’agit d’un rendez-vous d’information périodique détaillant un incident de sécurité inspiré d’incidents réels qui lui ont été notifiés.
Celui du 1er trimestre 2022 est consacré aux défauts de configuration des espaces de stockage dans le cloud public. Elle y détaille les causes potentielles d’attaques sur des infrastructures cloud.
Le défaut de sécurité : principal manquement relevé par la Cnil
À l’occasion de la journée de la protection des données qui a eu lieu fin janvier, la Cnil relève que la moitié des sanctions prononcées en 2021 comportait un manquement en lien avec la sécurité des données personnelles.
Selon l’Autorité, ce constat illustre deux choses :
- « les mesures de sécurité prises par les organismes restent souvent insuffisantes » ;
- « la Cnil vérifie systématiquement la sécurité des systèmes d’information lorsqu’elle effectue un contrôle ».
L’obligation de notification de violations de données à la Cnil
Rappelons par ailleurs que le RGPD impose au responsable de traitement de :
- documenter toute violation de données personnelles, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier ;
- notifier à l’autorité de contrôle toute violation de données personnelles, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ;
- communiquer à la personne concernée toute violation de données susceptible d’engendrer un risque élevé pour ses droits et libertés.
A ce propos, le CEPD vient d’actualiser ses lignes directrices sur les exemples de notification de violation de données personnelles (Version 2.0 du 14 12 2021 – en anglais). Elles comprennent désormais 18 nouveaux cas pratiques.
L’objectif de cette conférence est de savoir :
- identifier les facteurs à prendre en compte pour évaluer les risques liés aux violations de données ;
- déterminer si une notification à la Cnil et une communication aux personnes concernées sont nécessaires.
La visioconférence qui a lieu sur Zoom le mercredi 16 mars 2022 entre 9h et 11h.
Inscription gratuite. Formulaire