"RGPD"

25/10/2020

Pour tous ceux qui souhaitent utiliser EBIOS Risk Manager pour mener un PIA (Privacy Impact Assessment, communément, ou analyse d’impact relative à la protection des données – AIPD, dans le cadre spécifique de l’article 35 du RGPD), voici une infographie qui synthétise la démarche :

D’une manière générale, la sécurité de l’information / cybersécurité et la protection de la vie privée traitent toutes deux de protection des données.
L’objectif diffère : en sécurité de l’information, le but est de protéger l’organisme, alors qu’en protection de la vie privée, le but est de protéger les personnes.
Mais la manière de gérer les risques est parfaitement compatible !

Pour mener un PIA avec EBIOS Risk Manager, il suffit ainsi de :

  1. prendre le traitement de données à caractère personnel considéré comme objet de l’étude EBIOS Risk Manager ;
  2. évaluer le respect des principes fondamentaux (finalité déterminée, données minimisées, information des personnes, leur permettre l’exercice de leurs droits, etc.), et ceci peut se faire dans le cadre du socle de l’atelier 1 d’EBIOS Risk Manager ;
  3. identifier les impacts potentiels sur les personnes concernées et estimer leur gravité, et ceci peut se faire dans le cadre des événements redoutés du même atelier 1 d’EBIOS Risk Manager.

Toutes les informations requises dans un PIA se retrouvent toutes dans l’étude :

  1. la description du traitement est issue de l’atelier 1 ;
  2. l’évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux est issue également de l’atelier 1 ;
  3. l’étude des risques sur la sécurité des données et leurs impacts potentiels sur la vie privée est issue des ateliers 1, 2, 3 et 4 ;
  4. les mesures envisagées pour faire face aux risques sont issues de l’atelier 5.

04/04/2020

Cette norme internationale définit les principes qui doivent être respectés par toute approche de gestion des risques spécifique à la protection de la vie privée.

>Voir la norme (payante)

10/01/2019

Catégories : Présentation

ClubEBIOS-2018-01-10-COHEN-HADRIA

> Télécharger

Le RGPD prévoit une obligation de sécurité en son article 32. Cette obligation pose clairement une obligations de mesure du risque au regard des connaissances à date de la mise en place des mesures. Toutefois les décisions de la Cnil semblent omettre ce point et sanctionner le défaut de sécurité au sens d’une obligation de résultat. Dès lors peut se poser la question des conséquences de ces décisions sur la méthode EBIOS d’évaluation des risques et de l’accentuation de la vraisemblance de certains risques lorsqu’une société est dans le viseur de la CNIL.

26/02/2018

Les guides PIA* de la CNIL ont été révisés pour outiller le Règlement général sur la protection des données (RGPD).
La démarche méthodologique est une application spécifique de la boîte à outils EBIOS à la protection de la vie privée.
Elle permet de bâtir et de démontrer la conformité au RGPD pour un traitement de données à caractère personnel.
Les guides (la méthode, les modèles, et les bases de connaissances) sont complétés par un logiciel libre, des études de cas, des lignes directrices, une foire aux questions, etc.

Sur le site de la CNIL : L’analyse d’impact relative à la protection des données (AIPD)
PIA

*PIA – Privacy Impact Assessment, ou analyse d’impact relative à la protection des données (AIPD) dans le contexte du RGPD.

17/03/2017

Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée :

ClubEBIOS-EtudeDeCas-Geolocalisation-2017-03-17-Approuve

> Télécharger

Mots-clés :

14/03/2017

Catégories : Présentation