Dans le cadre du salon Cloud Computing World Expo des 21 et 22 mars 2019 à la Porte de Versailles, Olivier Iteanu intervient dans le forum sécurité@cloud.
Ce forum est organisé pour la seconde année.
Son thème de 2019 est “Vers un cloud de confiance, enjeux – méthodologies et analyses”.
Olivier Iteanu introduit l’après-midi de la seconde journée comme keynote speaker sur le thème “Ce que le Rgpd a changé pour le Cloud : du sous-traitant au responsable de traitement”.
Il intervient ensuite dans une table ronde intitulée “La face cachée de la notification des violations de données personnelles”.
En effet, le RGPD a introduit cette nouvelle obligation réglementaire, jusqu’alors réservée depuis 2004 aux seuls opérateurs de communication électroniques.
Désormais tout responsable de traitement et tout sous-traitant doit faire connaître une violation de données personnelles, dès lors qu’il en a connaissance.
Cette obligation, si elle est méconnue, est sanctionnée administrativement par la CNIL et peut même faire l’objet de poursuites pénales à compter du 1er juin 2019.
Mais n’y a t’il pas une face cachée à cette notification ?
Que faut il notifier ? Toute violation ou tentative de violation ? Est ce seulement envisageable d’un point de vue pratique, notamment pour les PME ? N’y a t’il pas un risque à faire connaître un tel évènement à l’extérieur et que l’information se répande jusqu’à porter atteinte à la pérennité de l’organisation en cause et comment gérer ce risque ? Une telle notification, ne va t’elle pas entrainer un contrôle de la CNIL sur l’organisation qui s’est pourtant comporter de manière vertueuse, et de quel ampleur ?
La réponse à ces premières questions est importante pour faire le clair sur une nouvelle pratique qui est exigée des acteurs de données personnelles, une exigence qui a pour objectif d’entraîner un changement profond de culture.
Le programme du forum est ici.