SlideShare une entreprise Scribd logo
1  sur  38
Comment bien réagir en cas de violation de
données
(GDPR, NIS, Trade secrets, Criminal Law)?
Fanny COTON - Lexing
Pauline LIMBREE- Lexing
www.earlegal.beGroupe Larcier / Lexing
Présentation et logistique
Présentation co-organisée par Groupe Larcier et Lexing Belgium
à Bruxelles et à Liège
La présentation vous est envoyée par courriel
Les vidéos sont disponibles en ligne quelques semaines plus
tard : https://creactivity.lexing.be/earlegal/
Un fil rouge
Quatre questions
2
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• les serveurs subissent une attaque
• les listing des patients sont publiés
en ligne.
Un hôpital
- 3600
travailleurs
- 50 000 patients
en hôpital de
jour/an
www.earlegal.beGroupe Larcier / Lexing
Programme
Quand devez-vous notifier la violation de données?
Quels sont les moyens d’action sur le plan pénal?
Contre qui et comment vous retourner sur le plan
civil ?
Que prévoir pour être préparé?
4
Groupe Larcier / Lexing www.earlegal.be
Quelques chiffres
5
www.earlegal.beGroupe Larcier / Lexing
APD : 317 fuites de données signalées en 6 mois
(contre 13 en 2017!)
CNIL : 1200
6
Groupe Larcier / Lexing www.earlegal.be
Quand devez-vous notifier la violation de
données ?
7
www.earlegal.beGroupe Larcier / Lexing
3 législations à respecter
8
RGPD NIS
Communications
électroniques
www.earlegal.beGroupe Larcier / Lexing
Toute information se
rapportant à une personne
physique identifiée ou
identifiable
Ex : nom, numéro
d'identification, données de
localisation, plaque
d’immatriculation,
identifiant en ligne, adresse
IP, résultats médicaux, e-
mails, affiliations.
RGPD : si donnée à caractère personnel
www.earlegal.beGroupe Larcier / Lexing
RGPD
10
• Obligation ou non de notifier?
 Si risque pour les droits et libertés des personnes physiques
 Guide : lignes directrices 250.rev01 du CEPD (ancien groupe 29)
• Respect délai 72 h
APD
(si risque)
(si risque ELEVE)
www.earlegal.beGroupe Larcier / Lexing
A qui notifier en cas de répercussions dans
plusieurs États membres ?
A l'autorité de contrôle chef de file
 principal établissement du RT
concernant ce traitement
Traitement sur la base d’une obligation
légale ou mission d’intérêt public :
uniquement l’autorité de contrôle de l’Etat
qui prévoit ce traitement
www.earlegal.beGroupe Larcier / Lexing
Directive NIS et le projet de loi belge
12
CSIRT national
Autorité
sectorielle/CSIRT
sectoriel
CCB
Opérateur de services essentiels Fournisseur de service numérique
Sans retard
Incident ayant un impact significatif sur la
disponibilité, la confidentialité, l’intégrité ou
l’authenticité des réseaux et des services
Incident ayant un impact négatif sur la fourniture
d’un service fixé par l’annexe II
Obligation même si l’opérateur ne dispose que d’une
partie des informations pertinentes pour évaluer le
caractère significatif de l’impact de l’incident
Obligation? Seulement si fournisseur a accès aux
informations nécessaires pour évaluer l’impact de
l’incident
www.earlegal.beGroupe Larcier / Lexing
Loi « communications électroniques »
13
• Obligation de notifier
• Sans délai
• APD informe l’IBPT si l’entreprise ne respecte pas cette obligation de
notification
• Information à l’abonné: nature de la violation, points de contact où
trouver les informations,
• Tenir un inventaire des violations
APD
IBPT
Abonné/particulier (si
affecte négativement ses
données à caractère
personnel ou sa vie privée
(seuil moins élevé que RGPD)
www.earlegal.beGroupe Larcier / Lexing
Récapitulatif
14
RGPD NIS Communications
72 h Sans retard Sans délai
Si risque : À l’APD
Si impact significatif/négatif :
- au CSIRT national;
- à l’autorité sectorielle ou à
son CSIRT sectoriel
- au CCB
À l’APD (qui avertit l’IBPT)
Si risque élevé : aux personnes
concernées /
Si affecte négativement vie
privée ou DCP :
au particulier
Sanctions administratives et
pénales
Sanctions administratives ou
pénales /
Formulaire en ligne sur site
APD
Plate- forme de notification (qui
doit encore être créée)
APD informe l’IBPT
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Fuite listings
patients d’un
hôpital A priori NIS
RGPD
Groupe Larcier / Lexing www.earlegal.be
Quels sont les moyens d’action
sur le plan pénal ?
16
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
•Des essais cliniques ont été volés
•Un ancien membre du personnel
est soupçonné
•Il démarche un nouvel
employeur
Hôpital
www.earlegal.beGroupe Larcier / Lexing 18
Au pénal Au civil
Action contre une
personne identifiée
Action contre X
Action contre une
personne identifiée
Action contre X
www.earlegal.beGroupe Larcier / Lexing
Violation de données : quelles infractions?
19
Hacking
interne
Hacking
externe
Sabotage
Faux en
écritures
Faux
informati
que
Fraude
informati
que
Extorsion Abus de
confiance
Vol
www.earlegal.beGroupe Larcier / Lexing
Au pénal : démarches
20
Réparation (si
coupable
identifié)
…ENQUÊTE…
www.earlegal.beGroupe Larcier / Lexing
Dépôt de plainte
Zone de police compétente
à Liège : commissariat Natalis
Informations à fournir :
Type de SI contaminé?
Système d’exploitation du SI?
Présence antivirus?
Propriétaire du SI?
Mode de contamination?
Etc.
Selon type d’attaque, transmission à la
RCCU/FCCU
21
www.earlegal.beGroupe Larcier / Lexing
Exemple d’informations à fournir: ransomware
22
www.earlegal.beGroupe Larcier / Lexing
Signalement
23
http://www.cert.be/ suspect@safeonweb.be
tromperie, arnaque, fraude ou escroquerie:
https://meldpunt.belgie.be/meldpunt/fr/bienvenue
Groupe Larcier / Lexing www.earlegal.be24
Contre qui et comment vous
retourner sur le plan civil ?
www.earlegal.beGroupe Larcier / Lexing
Mesures d’urgence / Action au fond
25
Action en cessation
Sur base de la
violation d’un secret
d’affaires
Référé
 Mesures
provisoires
Contre tiers :
Hébergeur,
Moteur de recherche
(déréférencement)…
Possibilité de
réparation
www.earlegal.beGroupe Larcier / Lexing
Violation de données = violation du secrets d’affaires ?
Conditions cumulatives :
Informations secrètes,
valeur commerciale parce qu'elles sont
secrètes,
dispositions raisonnables destinées à les
garder secrètes (ex : clauses contrat)
Exemples de secret d’affaires contenant
des données à caractère personnel
• profils des consommateurs
• informations relatives aux clients et aux fournisseurs
• Études cliniques
www.earlegal.beGroupe Larcier / Lexing
Au civil et au pénal : possibilité de réparation
27
Infraction
pénale
Faute civile
Dommage
Lien causal
Lien causal
Prouver
responsa
bilité
Prouver
$$$
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Hôpital
Vol d’essais
cliniques
Action en cessation contre
auteur et contre nouvel
employeur
Plainte pénale
Constitution d’un dossier pour
prouver le dommage
Groupe Larcier / Lexing www.earlegal.be29
Que prévoir pour être bien préparé?
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
•voudrait éviter
que cet incident se
reproduise
Hôpital
Victime d’une
violation de
données
www.earlegal.beGroupe Larcier / Lexing
Personnel :
Obligation légale de confidentialité
• Art. 309 de Code Pénal (secrets de fabrique)
• Article 17 de loi sur le contrat de travail
Clause de confidentialité souhaitable:
Nécessaire si sous-traitant (art. 28 RGPD)
Attire l’attention du travailleur.
Permet d’énumérer ce qui est considéré comme secret
Indemnité forfaitaire possible
Démontrer en justice que c’est un secret d’affaires
www.earlegal.beGroupe Larcier / Lexing
Dans les contrats
32
Relations avec ses employés
Relations avec ses sous-
traitants
Délimiter la mission
Obligation de
confidentialité
(couvert lorsque sous-
traitant)
• DACP
• Secret d’affaires (pas
nécessaire de prévoir
clause de non-
concurrence
Délimiter la mission
Clauses RGPD (art. 28)
(contient une obligation de
confidentialité)
À préciser:
• Délai pour notifier une
violation;
• modalités de l’audit;
• …
Forfaitiser le dommage
Exigence d’assurance
Forfaitiser pénalité
Restitution du matériel à la fin
du contrat
www.earlegal.beGroupe Larcier / Lexing
Prévention
www.earlegal.beGroupe Larcier / Lexing
Sécurité au quotidien
• Contrôler les accès
• Culture du secret (entre départements)
• Règlement travail (BYOD, …)
• Écrans de rappels (fuite malintentionnée…)
• Entretien de départ (remettre badges d’accès,
documents, fichiers…)
• Mettre réellement en œuvre les clauses:
réaliser les audits
www.earlegal.beGroupe Larcier / Lexing
Préparé pour réagir vite
Procédure à mettre en place :
Constitution d’une équipe de garde
pour réagir
Listing des réflexes à adopter,
Documentation à jour (registre,
analyses d’impact)
Maîtrise du formulaire et des
critères à appliquer
35
www.earlegal.beGroupe Larcier / Lexing
Formation
 Conséquences d’une violation de
données
 En cas de doute sur un e-mail :
 Procédure mise en place
 Simulation d’une brèche de sécurité
 Simulation d’une « descente » de
l’Autorité de Protection des
Données
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Hôpital
Organise des sessions de
sensibilisation
Insère les clauses ad hoc
dans les contrats
Constitution d’une
équipe de garde pour
réagir
Nous vous remercions
pour votre attention

Contenu connexe

Tendances

RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?OlivierDEKETER
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?Lexing - Belgium
 
Rédaction et mise en place d’une politique de gestion de l'information
Rédaction et mise en place d’une politique de gestion de l'informationRédaction et mise en place d’une politique de gestion de l'information
Rédaction et mise en place d’une politique de gestion de l'informationLedjit
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
Lexing - Belgium
 
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...Lexing - Belgium
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRTechnofutur TIC
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
earlegal#7 - influenceurs et marques, quels sont les contours juridiques ?
earlegal#7 -  influenceurs et marques, quels sont les contours juridiques ?earlegal#7 -  influenceurs et marques, quels sont les contours juridiques ?
earlegal#7 - influenceurs et marques, quels sont les contours juridiques ?Lexing - Belgium
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du  reseaux-business.com de mars 2018Présentation RGPD pour les PME du  reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018aucompte xavier
 

Tendances (20)

RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
 
Ifc janvier 2020 jour 1 gdpr en pratique
Ifc janvier 2020 jour 1 gdpr en pratiqueIfc janvier 2020 jour 1 gdpr en pratique
Ifc janvier 2020 jour 1 gdpr en pratique
 
Rédaction et mise en place d’une politique de gestion de l'information
Rédaction et mise en place d’une politique de gestion de l'informationRédaction et mise en place d’une politique de gestion de l'information
Rédaction et mise en place d’une politique de gestion de l'information
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

 
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...
earlegal #8 - Distribution commerciale au XXIe siècle : Comment se (ré)organi...
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Le GD¨R en pratique
Le GD¨R en pratiqueLe GD¨R en pratique
Le GD¨R en pratique
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 
Marketing et gdpr
Marketing et gdprMarketing et gdpr
Marketing et gdpr
 
Le dossier GDPR
Le dossier GDPRLe dossier GDPR
Le dossier GDPR
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
earlegal#7 - influenceurs et marques, quels sont les contours juridiques ?
earlegal#7 -  influenceurs et marques, quels sont les contours juridiques ?earlegal#7 -  influenceurs et marques, quels sont les contours juridiques ?
earlegal#7 - influenceurs et marques, quels sont les contours juridiques ?
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du  reseaux-business.com de mars 2018Présentation RGPD pour les PME du  reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 

Similaire à earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, Trade secrets, Criminal Law) ?

Risques numériques et responsabilités
Risques numériques et responsabilitésRisques numériques et responsabilités
Risques numériques et responsabilitésComsoce
 
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera. La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera. OECD Governance
 
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...eGov Innovation Center
 
Comment anticiper la future règlementation relative à la protection de donnée...
Comment anticiper la future règlementation relative à la protection de donnée...Comment anticiper la future règlementation relative à la protection de donnée...
Comment anticiper la future règlementation relative à la protection de donnée...Philippe & Partners
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Christophe Boeraeve
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données  à caractère personnel  au sein des a...earlegal #4 - La protection des données  à caractère personnel  au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...Lexing - Belgium
 
Les fadet divulguées doivent elles être notifiées à la cnil
Les fadet divulguées doivent elles être notifiées à la cnil Les fadet divulguées doivent elles être notifiées à la cnil
Les fadet divulguées doivent elles être notifiées à la cnil Freelance
 
Comment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalComment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalEdatis
 
20111216 La réputation de votre entreprise en danger sur le net
20111216 La réputation de votre entreprise en danger sur le net20111216 La réputation de votre entreprise en danger sur le net
20111216 La réputation de votre entreprise en danger sur le netLuc Beirens
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocAssociationAF
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnumFrenchTechCentral
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)AT Internet
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILStéphanie Roger
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperlessearlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperlessLexing - Belgium
 
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?Fanny COTON
 

Similaire à earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, Trade secrets, Criminal Law) ? (20)

Risques numériques et responsabilités
Risques numériques et responsabilitésRisques numériques et responsabilités
Risques numériques et responsabilités
 
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera. La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
 
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
 
Comment anticiper la future règlementation relative à la protection de donnée...
Comment anticiper la future règlementation relative à la protection de donnée...Comment anticiper la future règlementation relative à la protection de donnée...
Comment anticiper la future règlementation relative à la protection de donnée...
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données  à caractère personnel  au sein des a...earlegal #4 - La protection des données  à caractère personnel  au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...
 
Les fadet divulguées doivent elles être notifiées à la cnil
Les fadet divulguées doivent elles être notifiées à la cnil Les fadet divulguées doivent elles être notifiées à la cnil
Les fadet divulguées doivent elles être notifiées à la cnil
 
Comment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalComment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legal
 
20111216 La réputation de votre entreprise en danger sur le net
20111216 La réputation de votre entreprise en danger sur le net20111216 La réputation de votre entreprise en danger sur le net
20111216 La réputation de votre entreprise en danger sur le net
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie Foulgoc
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNIL
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
Actecil se-presente-cogito expo13
Actecil se-presente-cogito expo13Actecil se-presente-cogito expo13
Actecil se-presente-cogito expo13
 
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperlessearlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
 
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
 

Plus de Lexing - Belgium

earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?Lexing - Belgium
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Lexing - Belgium
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...Lexing - Belgium
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?Lexing - Belgium
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Lexing - Belgium
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...Lexing - Belgium
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeLexing - Belgium
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?Lexing - Belgium
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...Lexing - Belgium
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?Lexing - Belgium
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?Lexing - Belgium
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?Lexing - Belgium
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...Lexing - Belgium
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Lexing - Belgium
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...Lexing - Belgium
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxLexing - Belgium
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...Lexing - Belgium
 

Plus de Lexing - Belgium (20)

earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
 

earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, Trade secrets, Criminal Law) ?

  • 1. Comment bien réagir en cas de violation de données (GDPR, NIS, Trade secrets, Criminal Law)? Fanny COTON - Lexing Pauline LIMBREE- Lexing
  • 2. www.earlegal.beGroupe Larcier / Lexing Présentation et logistique Présentation co-organisée par Groupe Larcier et Lexing Belgium à Bruxelles et à Liège La présentation vous est envoyée par courriel Les vidéos sont disponibles en ligne quelques semaines plus tard : https://creactivity.lexing.be/earlegal/ Un fil rouge Quatre questions 2
  • 3. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur • les serveurs subissent une attaque • les listing des patients sont publiés en ligne. Un hôpital - 3600 travailleurs - 50 000 patients en hôpital de jour/an
  • 4. www.earlegal.beGroupe Larcier / Lexing Programme Quand devez-vous notifier la violation de données? Quels sont les moyens d’action sur le plan pénal? Contre qui et comment vous retourner sur le plan civil ? Que prévoir pour être préparé? 4
  • 5. Groupe Larcier / Lexing www.earlegal.be Quelques chiffres 5
  • 6. www.earlegal.beGroupe Larcier / Lexing APD : 317 fuites de données signalées en 6 mois (contre 13 en 2017!) CNIL : 1200 6
  • 7. Groupe Larcier / Lexing www.earlegal.be Quand devez-vous notifier la violation de données ? 7
  • 8. www.earlegal.beGroupe Larcier / Lexing 3 législations à respecter 8 RGPD NIS Communications électroniques
  • 9. www.earlegal.beGroupe Larcier / Lexing Toute information se rapportant à une personne physique identifiée ou identifiable Ex : nom, numéro d'identification, données de localisation, plaque d’immatriculation, identifiant en ligne, adresse IP, résultats médicaux, e- mails, affiliations. RGPD : si donnée à caractère personnel
  • 10. www.earlegal.beGroupe Larcier / Lexing RGPD 10 • Obligation ou non de notifier?  Si risque pour les droits et libertés des personnes physiques  Guide : lignes directrices 250.rev01 du CEPD (ancien groupe 29) • Respect délai 72 h APD (si risque) (si risque ELEVE)
  • 11. www.earlegal.beGroupe Larcier / Lexing A qui notifier en cas de répercussions dans plusieurs États membres ? A l'autorité de contrôle chef de file  principal établissement du RT concernant ce traitement Traitement sur la base d’une obligation légale ou mission d’intérêt public : uniquement l’autorité de contrôle de l’Etat qui prévoit ce traitement
  • 12. www.earlegal.beGroupe Larcier / Lexing Directive NIS et le projet de loi belge 12 CSIRT national Autorité sectorielle/CSIRT sectoriel CCB Opérateur de services essentiels Fournisseur de service numérique Sans retard Incident ayant un impact significatif sur la disponibilité, la confidentialité, l’intégrité ou l’authenticité des réseaux et des services Incident ayant un impact négatif sur la fourniture d’un service fixé par l’annexe II Obligation même si l’opérateur ne dispose que d’une partie des informations pertinentes pour évaluer le caractère significatif de l’impact de l’incident Obligation? Seulement si fournisseur a accès aux informations nécessaires pour évaluer l’impact de l’incident
  • 13. www.earlegal.beGroupe Larcier / Lexing Loi « communications électroniques » 13 • Obligation de notifier • Sans délai • APD informe l’IBPT si l’entreprise ne respecte pas cette obligation de notification • Information à l’abonné: nature de la violation, points de contact où trouver les informations, • Tenir un inventaire des violations APD IBPT Abonné/particulier (si affecte négativement ses données à caractère personnel ou sa vie privée (seuil moins élevé que RGPD)
  • 14. www.earlegal.beGroupe Larcier / Lexing Récapitulatif 14 RGPD NIS Communications 72 h Sans retard Sans délai Si risque : À l’APD Si impact significatif/négatif : - au CSIRT national; - à l’autorité sectorielle ou à son CSIRT sectoriel - au CCB À l’APD (qui avertit l’IBPT) Si risque élevé : aux personnes concernées / Si affecte négativement vie privée ou DCP : au particulier Sanctions administratives et pénales Sanctions administratives ou pénales / Formulaire en ligne sur site APD Plate- forme de notification (qui doit encore être créée) APD informe l’IBPT
  • 15. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Fuite listings patients d’un hôpital A priori NIS RGPD
  • 16. Groupe Larcier / Lexing www.earlegal.be Quels sont les moyens d’action sur le plan pénal ? 16
  • 17. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur •Des essais cliniques ont été volés •Un ancien membre du personnel est soupçonné •Il démarche un nouvel employeur Hôpital
  • 18. www.earlegal.beGroupe Larcier / Lexing 18 Au pénal Au civil Action contre une personne identifiée Action contre X Action contre une personne identifiée Action contre X
  • 19. www.earlegal.beGroupe Larcier / Lexing Violation de données : quelles infractions? 19 Hacking interne Hacking externe Sabotage Faux en écritures Faux informati que Fraude informati que Extorsion Abus de confiance Vol
  • 20. www.earlegal.beGroupe Larcier / Lexing Au pénal : démarches 20 Réparation (si coupable identifié) …ENQUÊTE…
  • 21. www.earlegal.beGroupe Larcier / Lexing Dépôt de plainte Zone de police compétente à Liège : commissariat Natalis Informations à fournir : Type de SI contaminé? Système d’exploitation du SI? Présence antivirus? Propriétaire du SI? Mode de contamination? Etc. Selon type d’attaque, transmission à la RCCU/FCCU 21
  • 22. www.earlegal.beGroupe Larcier / Lexing Exemple d’informations à fournir: ransomware 22
  • 23. www.earlegal.beGroupe Larcier / Lexing Signalement 23 http://www.cert.be/ suspect@safeonweb.be tromperie, arnaque, fraude ou escroquerie: https://meldpunt.belgie.be/meldpunt/fr/bienvenue
  • 24. Groupe Larcier / Lexing www.earlegal.be24 Contre qui et comment vous retourner sur le plan civil ?
  • 25. www.earlegal.beGroupe Larcier / Lexing Mesures d’urgence / Action au fond 25 Action en cessation Sur base de la violation d’un secret d’affaires Référé  Mesures provisoires Contre tiers : Hébergeur, Moteur de recherche (déréférencement)… Possibilité de réparation
  • 26. www.earlegal.beGroupe Larcier / Lexing Violation de données = violation du secrets d’affaires ? Conditions cumulatives : Informations secrètes, valeur commerciale parce qu'elles sont secrètes, dispositions raisonnables destinées à les garder secrètes (ex : clauses contrat) Exemples de secret d’affaires contenant des données à caractère personnel • profils des consommateurs • informations relatives aux clients et aux fournisseurs • Études cliniques
  • 27. www.earlegal.beGroupe Larcier / Lexing Au civil et au pénal : possibilité de réparation 27 Infraction pénale Faute civile Dommage Lien causal Lien causal Prouver responsa bilité Prouver $$$
  • 28. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Hôpital Vol d’essais cliniques Action en cessation contre auteur et contre nouvel employeur Plainte pénale Constitution d’un dossier pour prouver le dommage
  • 29. Groupe Larcier / Lexing www.earlegal.be29 Que prévoir pour être bien préparé?
  • 30. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur •voudrait éviter que cet incident se reproduise Hôpital Victime d’une violation de données
  • 31. www.earlegal.beGroupe Larcier / Lexing Personnel : Obligation légale de confidentialité • Art. 309 de Code Pénal (secrets de fabrique) • Article 17 de loi sur le contrat de travail Clause de confidentialité souhaitable: Nécessaire si sous-traitant (art. 28 RGPD) Attire l’attention du travailleur. Permet d’énumérer ce qui est considéré comme secret Indemnité forfaitaire possible Démontrer en justice que c’est un secret d’affaires
  • 32. www.earlegal.beGroupe Larcier / Lexing Dans les contrats 32 Relations avec ses employés Relations avec ses sous- traitants Délimiter la mission Obligation de confidentialité (couvert lorsque sous- traitant) • DACP • Secret d’affaires (pas nécessaire de prévoir clause de non- concurrence Délimiter la mission Clauses RGPD (art. 28) (contient une obligation de confidentialité) À préciser: • Délai pour notifier une violation; • modalités de l’audit; • … Forfaitiser le dommage Exigence d’assurance Forfaitiser pénalité Restitution du matériel à la fin du contrat
  • 33. www.earlegal.beGroupe Larcier / Lexing Prévention
  • 34. www.earlegal.beGroupe Larcier / Lexing Sécurité au quotidien • Contrôler les accès • Culture du secret (entre départements) • Règlement travail (BYOD, …) • Écrans de rappels (fuite malintentionnée…) • Entretien de départ (remettre badges d’accès, documents, fichiers…) • Mettre réellement en œuvre les clauses: réaliser les audits
  • 35. www.earlegal.beGroupe Larcier / Lexing Préparé pour réagir vite Procédure à mettre en place : Constitution d’une équipe de garde pour réagir Listing des réflexes à adopter, Documentation à jour (registre, analyses d’impact) Maîtrise du formulaire et des critères à appliquer 35
  • 36. www.earlegal.beGroupe Larcier / Lexing Formation  Conséquences d’une violation de données  En cas de doute sur un e-mail :  Procédure mise en place  Simulation d’une brèche de sécurité  Simulation d’une « descente » de l’Autorité de Protection des Données
  • 37. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Hôpital Organise des sessions de sensibilisation Insère les clauses ad hoc dans les contrats Constitution d’une équipe de garde pour réagir
  • 38. Nous vous remercions pour votre attention

Notes de l'éditeur

  1. Nis Article 24 et Article 35 projet de loi du ! Plate forme NIS : pourra permettre aux fournisseurs de service numérique de notifier violations DACP aux autorités de contrôle Centre national de réponse aux incidents de sécurité informatique Avertir l’abonné si de nature à affecter négativement les données
  2. ETABLISSEMENT PRINCIPAL : établissement dans l'UE où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données; si aucune décision de ce type n’est prise dans l’Union, le lieu où sont exercées les principales activités de traitement dans le cadre des activités d’un établissement d’un RT dans l’UE coopération des aut. nat. parvenir à un consensus positif pour les entreprises
  3. Projet de loi établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, 12 novembre 2018, DOC 54 3340/001 CSIRT : Computer Security Incidence Response Team. (centre national de réponse aux incidents de sécurité informatique) - Liste de OSE Identification des OSE par les EM au plus tard pour le 9/11/2018 En Belgique : projet de loi définit OSE : une entité publique ou privée active en Belgique: dans l’un des secteurs repris à l’annexe I de la loi (Établissements de soins de santé (y compris les hôpitaux et les cliniques privées), qui répond aux critères visés à l’article 12, § 1er, et qui est désignée comme telle par l’autorité sectorielle; l'identification des OSE par l'autorité sectorielle, en concertation avec le CCB et le Centre de crise, dans les limites de leurs compétences respectives
  4. violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier La notification d'une violation des données à caractère personnel à l'abonné ou au particulier concerné n'est pas nécessaire si l'entreprise fournissant des services de communications électroniques accessibles au public a prouvé, à la satisfaction de l'Institut, qu'elle a mis en oeuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation   Les entreprises fournissant des services de communications électroniques accessibles au public tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, [2 de sorte que la Commission de la protection de la vie privée et l'Institut puissent vérifier le respect des dispositions du paragraphe 3]2. Cet inventaire comporte uniquement les informations nécessaires à cette fin.]1
  5. Nis Article 24 et Article 35 projet de loi du ! Plate forme NIS : pourra permettre aux fournisseurs de service numérique de notifier violations DACP aux autorités de contrôle Centre national de réponse aux incidents de sécurité informatique Avertir l’abonné si de nature à affecter négativement les données Aucune sanction pénale prévue
  6. Identification des OSE par les EM au plus tard pour le 9/11/2018 En Belgique : projet de loi définit OSE : une entité publique ou privée active en Belgique: dans l’un des secteurs repris à l’annexe I de la loi (Établissements de soins de santé (y compris les hôpitaux et les cliniques privées), qui répond aux critères visés à l’article 12, § 1er, et qui est désignée comme telle par l’autorité sectorielle; l'identification des OSE par l'autorité sectorielle, en concertation avec le CCB et le Centre de crise, dans les limites de leurs compétences respectives
  7. Hacking interne (article 550bis du Code pénal) Interdiction pour une personne d’outrepasser les droits d’accès qu’il détient au sein d’un système informatique Exemple. Un employé d’une administration communale dépasse ses droits d’accès pour accéder aux données du registre national de son voisin Hacking externe (article 550bis du Code pénal) Interdiction pour un tiers d’accéder à un système informatique pour lequel il n’a aucun droit d’accès. Exemple. Cas classique de la violation de données par un tiers Sabotage (article 550ter du Code pénal) Interdiction d’introduire, de modifier ou de supprimer des données dans un système informatique sans en avoir reçu l’autorisation Exemple. Ransomware : données inaccessibles aussi longtemps que vous ne payez pas la somme d’argent demandée Faux en écritures (article 210bis du Code pénal) Altération de la vérité via de fausses signatures, la modification d’écritures existantes ou l’ajout de mentions après signature. Exemple. Une personne utilise la signature électronique d’une autre afin d’obtenir certaines informations Faux informatique (article 550bis du Code pénal) Interdiction de falsifier un document par des manipulations de données informatiques pertinentes Exemple. Faux mail, skimming Fraude informatique (article 504quater du Code pénal) Interdiction de tenter de tromper une machine Exemple. Utilisation d’une carte d’identité d’un collègue pour accéder au registre national Extorsion (article 470 du Code pénal) Remise d’une chose sous l’emprise de la violence ou de la menace Exemple. Ransomware : vos données sont bloquées jusqu’à ce que vous payez une somme d’argent (avec menace éventuelle de les divulguer publiquement) Abus de confiance (article 491 du Code pénal) Une personne, à laquelle une chose est préalablement remise, décide de se l’approprier afin d’obtenir un bénéfice illégal pour elle-même ou pour autrui. Exemple. Hypothèse de sous-traitance : vous transmettez des données à votre sous-traitant qui, contrairement à vos instructions, les vend à des tiers Vol (article 461 du Code pénal) Soustraction frauduleuse d’une chose appartenant à autrui Exemple. Vol d’une mallette contenant des documents confidentiels
  8. Ne pas effacer les traces de l’attaque : demander à informaticien qui intervient de faire des back up etc avant de réparer Nettoyage et Réparer Déposer plainte : police locale vers RCCU + si vous êtes entreprises : possibilité de le signaler au Cert + si phishing + si fraude 4. Possibilité d’obtenir réparation du dommage
  9. commissariat Natalis car réferend ICT - déposer de plainte auprès du service de police territorialement compétent;   - Transmission éventuelle à Federal Computer Crime Unit, unité spécialisée dans la cybercriminalité.   - dossier traité par procureur (utile de connaitre l’identité afin d’obtenir des renseignements plus rapidement);   - Dépôt d’une plainte au nom d’une personne morale: procuration nécessaire - Possibilité de dépôt de plainte avec constitution de partie civile auprès d’un juge d’instruction. (consignation d’une certaine somme d’argent au greffe = provision sur les frais de justice: remboursée personne suspectée est déclarée coupable)    
  10. Ne pas effacer les traces de l’attaque : demander à informaticien qui intervient de faire des back up etc avant de réparer Nettoyage et Réparer Déposer plainte : police locale vers RCCU + si vous êtes entreprises : possibilité de le signaler au Cert + si phishing + si fraude 4. Possibilité d’obtenir réparation du dommage
  11. Action en cessation possible contre les travailleurs et le nouvel employeur, en cas de détournement de données confidentielles  violation de secret d’affaires
  12. Action en réparation : (ex. : dommage = taux des licences précédemment conclues X nombre de produits commercialisés).
  13. « Le travailleur a l’obligation (…) de s’abstenir, tant au cours du contrat qu’après la cessation de celui-ci de divulguer les secrets de fabrication, ou d’affaires, ainsi que le secret de toute affaire à caractère personnel ou confidentiel dont il aurait eu connaissance dans l’exercice de son activité professionnelle » MAIS aucune limitation à l'utilisation d'expériences et de compétences acquises de manière honnête dans l'exercice normal de leurs fonctions. Clause de non-concurrence La clause de non-concurrence est réputée inexistante dans les contrats de travail pour lesquels la rémunération annuelle ne dépasse pas33.221 EUR 33.221 EUR et 66.441 EUR ne peut s'appliquer qu'à des catégories de fonctions ou à des fonctions déterminées par convention collective de travail Au dessus de 66441 non-concurrence peut validement figurer dans les contrats de travail, sauf pour les catégories de fonctions ou les fonctions exclues par convention collective de travail La validité de toute clause de non-concurrence est en outre subordonnée aux conditions suivantes :   1° elle doit se rapporter à des activités similaires;   2° elle doit être géographiquement limitée aux lieux où l'ouvrier peut faire une concurrence réelle à l'employeur, en considérant la nature de l'entreprise et son rayon d'action. Elle ne peut en aucun cas s'étendre au-delà du territoire national;   3° elle ne peut excéder douze mois à partir du jour où les relations de travail ont pris fin;   4° elle doit prévoir le paiement d'une indemnité compensatoire unique et de caractère forfaitaire par l'employeur, sauf si ce dernier renonce dans un délai de quinze jours à partir du moment de la cessation du contrat à l'application effective de la clause de non-concurrence.   Le montant minimal de cette indemnité est égal à la moitié de la rémunération brute de l'ouvrier correspondant à la durée d'application effective de la clause. La base de ce montant est constituée par la rémunération brute de l'ouvrier payée au cours du mois qui précède le jour de la cessation du contrat.   Pour les ouvriers ayant une rémunération totalement ou partiellement variable, ce montant est calculé, pour la partie variable, sur la moyenne de la rémunération brute des douze mois qui précèdent le jour de la cessation du contrat.   Sous peine de nullité, la clause doit être constatée par un écrit déterminant les modalités d'application des conditions énoncées ci-dessus. Les commissions ou les sous-commissions paritaires peuvent préciser ces modalités selon les conditions propres aux divers secteurs d'activité.   La clause conforme aux dispositions du présent article ne produit pas ses effets s'il est mis fin au contrat, soit [1 durant les six premiers mois à partir du début du contrat]1, soit après cette période par l'employeur sans motif grave, ou par l'ouvrier pour motif grave.   En cas de violation de la clause de non-concurrence par l'ouvrier, ce dernier sera tenu de rembourser à l'employeur la somme que ce dernier aura payée, en application du principe énoncé au § 2, alinéa 5, 4°, du présent article et devra en outre lui payer une somme équivalente. Cependant, à la demande de l'ouvrier, le juge peut réduire le montant de l'indemnité fixée conventionnellement, en tenant compte notamment du dommage causé et de la durée réelle de la période pendant laquelle la clause a été respectée. Le juge peut également, à la demande de l'employeur, accorder une réparation supérieure, à charge de justifier de l'existence et de l'étendue du préjudice. Aussi si on le vire mis fin au contrat soit [1 durant les six premiers mois à partir du début du contrat]1, soit après cette période, par l'employeur sans motif grave Représentants de commerce - subordonnée à la triple condition qu'elle se rapporte à des activités similaires, qu'elle n'excède pas douze mois et qu'elle se limite au territoire sur lequel le représentant de commerce exerce son activité. Pour employés peut déroger la clause ne produit pas ses effets lorsqu'il est mis fin au contrat soit [1 durant les six premiers mois à partir du début du contrat]1, soit après cette période, par l'employeur sans motif grave Ces clauses dérogatoires donnent droit au paiement d'une indemnité par l'employeur, sauf si ce dernier renonce à l'application effective de la clause de non-concurrence. Les entreprises auxquelles cette clause dérogatoire peut s'appliquer sont celles qui répondent à une des deux ou aux deux conditions suivantes : a) avoir un champ d'activité international ou des intérêts économiques, techniques ou financiers importants sur les marchés internationaux. b) disposer d'un service de recherches propre. Dans ces entreprises, la clause dérogatoire peut s'appliquer aux employés occupés à des travaux qui leur permettent, directement ou indirectement, d'acquérir une connaissance de pratiques particulières à l'entreprise, dont l'utilisation en dehors de l'entreprise peut être dommageable à cette dernière.
  14. Hacking interne
  15. Nombre limité de personnes qui connaissent le secret Confier la responsabilité de la protection des secrets d'affaires à une équipe précise Conscientisation des travailleurs qui sont en contact avec des informations confidentielles Cloisonner l’information  pas en mesure de reconstituer l’intégralité d’un procès industriel Directives : éviter que les commerciaux ne communiquent trop de données pour convaincre un client potentiel ; éviter que les chercheurs internes ne publient des informations sensibles, même dans des publications scientifiques.
  16. Identification des OSE par les EM au plus tard pour le 9/11/2018 En Belgique : projet de loi définit OSE : une entité publique ou privée active en Belgique: dans l’un des secteurs repris à l’annexe I de la loi (Établissements de soins de santé (y compris les hôpitaux et les cliniques privées), qui répond aux critères visés à l’article 12, § 1er, et qui est désignée comme telle par l’autorité sectorielle; l'identification des OSE par l'autorité sectorielle, en concertation avec le CCB et le Centre de crise, dans les limites de leurs compétences respectives