{{item.videoDuration}}
{{item.title}}
{{item.videoDuration}}
Contexte
La cybercriminalité s’est professionnalisée. Organisée, protéiforme, souvent internationale, elle expose les organisations publiques et privées à des violations de données personnelles.
Face à la complexité de ces menaces, la prévention des risques doit s’appréhender de façon pluridisciplinaire et passe par l’anticipation. Dans ce contexte, la planification d’actions juridiques devrait compléter avantageusement le dispositif des mesures techniques et organisationnelles.
Quelles sont les 5 actions à mettre en place ?
- Veille juridique
- Sensibilisation et formation
- Gouvernance juridique et interne
- Gestion contractuelle des risques avec les tierces parties
- Polices d'assurance
Veille juridique
- Des actions de veille juridique permettent de suivre l’évolution du cadre légal et réglementaire applicable aux traitements mis en œuvre au sein des entreprises, a fortiori dans un environnement pluri-juridictionnel. Dans les secteurs inter réglementés, l’articulation des normes est par ailleurs essentielle à la définition d’une stratégie de conformité, prérequis d’une bonne gouvernance de la donnée.
Sensibilisation et formation
- Des actions de sensibilisation et formation, dont le contenu doit permettre d’appréhender avec pédagogie les différents enjeux du Règlement général sur la protection des données (RGPD), peuvent être prises en charge, complétées ou encore animées, en tout ou partie, par la direction juridique et/ou le délégué à la protection des données auprès des diverses fonctions métiers.
Gouvernance juridique et interne
Des actions de gouvernance juridique interne peuvent notamment se décliner selon les grands axes de réflexion suivants :
- rédaction et opposabilité d'une charte d'utilisation (utilisateurs/administrateurs) des systèmes d’information / encadrement des mesures de cybersurveillance au sein de l’entreprise ;
- contribution à la classification des données composant le patrimoine informationnel de l’entreprise ;
- détermination des durées de conservation légales ou réglementaires ;
- gestion des délégations de pouvoirs et de signatures ;
- contribution à la documentation de conformité interne (registre des activités de traitements, politiques de protection des données et de confidentialité, étude d'impacts sur la vie privée - PIA -, etc) ;
- recommandations en matière probatoire ;
- contribution à la rédaction de politiques et de procédures de sécurité, remontée d’incidents et de gestion de crise, en coordination avec les autres directions fonctionnelles.
Gestion contractuelle des risques avec les tierces parties
- Des actions de gestion contractuelle des risques avec les tierces parties, pour déterminer la répartition des obligations et responsabilités, s’assurer de l’auditabilité des prestations externalisées et suivre la bonne exécution des contrats.
Polices d'assurance
- La souscription de polices d’assurance adaptées.
L’ensemble des mesures susvisées, sans tendre à l’exhaustivité, permet de mettre en lumière les différents axes de définition d’une véritable stratégie juridique d’entreprise comme moyen contributif de prévention des menaces cyber. Cette stratégie, pour être efficace, doit pouvoir s’articuler autour des objectifs fixés par la politique de l’entreprise en matière de cybersécurité. Une entreprise organisée en silo ne pourra déployer qu’une réponse partielle.
Pour aller plus loin
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
Suivez notre actualité sur LinkedIn
Contactez-nous
