Tout organisme qui traite des données de santé a vécu ou vivra une situation de violation des données pouvant entrainer une crise cyber parfois importante. Cette formation vous permettra de comprendre ce qu’implique une violation des données personnelles au sens du RGPD ainsi que les modalités d’une crise cyber.

Objectifs

  • Savoir ce qu’est une violation de données
  • Comprendre les enjeux et connaitre les causes d’une violation des données
  • Connaitre les acteurs qui informent, font de la veille et sont un appui lors d’une situation de crise liée à une violation des données
  • Réagir à une crise cyber et savoir mettre en place une procédure en cas de violation des données 
  • Prévenir le risque de la violation des données

Programme de la formation

Introduction

  • Tour de table
  • Contexte de la violation des données, cybersécurité et RGPD

La violation des données à caractère personnel

Qu’est-ce qu’une violation de données ?

  • Perte de confidentialité, d’intégrité, de disponibilité
  • Les données sensibles et de santé

Les causes de la violation des données

  • Les attaques de phishing
  • Les malwares et les ransomwares
  • Les erreurs humaines
  • Les actes de malveillance et vol industriel

Conséquences de la violation des données

  • Pour les personnes concernées (risque pour les patients : fuite des données de santé)
  • Pour l’organisme (mode dégradé d’un hôpital/calendrier des opérations)

Les acteurs de la sécurité des données

Les acteurs institutionnels

  • L’ANSSI pour la cybersécurité
  • La CNIL pour la conformité du RGPD
  • L’ANS et le CERT santé pour les professionnels de santé

Les acteurs au seins de l’organisme

  • Le DPO, coordonne les moyens organisationnels
  • Le RSSI, met en place les outils techniques
  • Les collaborateurs, observent les bons comportements

Atelier – Mise en place de la cellule de crise

  • Mettre en place les moyens techniques, organisationnels et comportementaux

Faire face à une situation de crise d’origine cyber

Réagir efficacement à la crise

  • Alerter, mobiliser et endiguer
  • Maintenir la confiance et comprendre l’attaque 
  • Relancer les activités métiers et durcir les systèmes d’information
  • Tirer les leçons de la crise et capitaliser

Procédure de violation des données à caractère personnel

  • Le registre des violation des données
  • Aviser la CNIL
  • Informer les personnes concernées
  • Faire une enquête interne
  • Prendre des mesures correctives
  • Réviser la politique de sécurité de l’organisme

La prévention des violations de données de santé

Hygiène informatique

  • La sécurité des mots de passe et l’authentification à deux facteurs
  • Les mises à jour des logiciels et des systèmes d’exploitation
  • La sécurité des réseaux et des appareils

La sécurité est une pratique collective

  • La sensibilisation et la formation des employés
  • Se couvrir avec une assurance cyber sécurité adéquate
  • Bien connaître ses collaborateurs et prestataires

Informations pratiques

Durée : 1 jour soit 7 heures de formation

Tarification : 1 000 € HT/TTC par personne en inter-entreprise. Pour les tarifs intra-entreprise, nous contacter.

Prérequis : aucun prérequis n’est exigé.

Méthodes pédagogiques : support pédagogique, mises en application, partages d’expériences, fiches-outils.

Méthodes d’évaluation : questionnaire préalable de positionnement avant la formation, quiz avec correction collégiale en fin de formation.

Délais d’accès : quatre semaines

Niveau : initiation.

Accessibilité aux personnes en situation de handicap (PSH) : oui, nous contacter.

Formateur

Pierre Le Guellec est certifié DPO par l’AFNOR selon les référentiels de la CNIL et certifié « Référent cybersécurité TPE/PME » selon le référentiel de l’ANSSI. Biochimiste de formation, il est titulaire de quatre diplômes universitaires en Protection des Données à Caractère Personnel (Université Paris V), Télémédecine (Bordeaux), E-santé et Médecine Connectée (Hôtel-Dieu Paris) et en recherche clinique (Université Paris V). Consultant RGPD spécialisé dans les données de santé, il est DPO externalisé pour une quinzaine d’entreprises. Il est également chargé d’enseignement du RGPD à la Faculté de Droit de Paris-Descartes (Université Paris Cité), au sein du Master Droit du numérique, parcours Protection de données personnelles.

  •  

Les informations recueillies par Yec’Hed Mat Conseil font l’objet d’un traitement informatique destiné à vous informer sur les services et les prestations de l’entreprise : conseil, audit, coaching et formation. Ces informations seront conservées pour une durée de un an. Conformément à la loi Informatique et Libertés et au Règlement Européen sur la Protection des Données (RGPD), vous disposez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, vous pouvez le faire en l’indiquant via le formulaire ci-dessus, ou bien par courrier postal : Yec’Hed Mat Conseil, 256 rue de Bègles, 33800 Bordeaux. Pour en savoir plus, reportez-vous à notre Politique de protection des données à caractère personnel.