Accueil
S.I. pour système d'information
Un S.I. est composé de l'ensemble des instruments informatiques par les quels les données de l'entreprise transitent, sont stockées, archivées ou supprimées.
Pour une définition très précise reportez vous à wikipedia:fr:Système_d'information.
Quelque soit la taille de l'entreprise, il semble qu'aujourd'hui 100% des entreprises aient créé une dépendance plus ou moins importante en vers leur système d'information. Le S.I. est devenu une composante transversale des biens de l'entreprise et mérite une attention accrue
Imaginez les possibles conséquences pour un médecin qui n'a pas accès au dossier médical d'un patient "compliqué", qu'il doit traité en urgence! ou d'une entreprise de dépannage qui n'a plus accès à ses lignes de reception d'appels!
Data pour données de l'entreprise
Biens intangibles de l'entreprise, les Data peuvent être décomposées comme suit:
- Données opérationnelles
- Données commerciales & marketing
- Données ressources humaines
- Données comptables et financières : les enregistrements de toutes les pièces comptables dont la conservation est régie par le code des impôts notamment.
- Données stratégiques: ce qui fait la différence entre les entreprises d'un même secteur. À protéger jalousement!
Ces données sont croisées avec un principe essentiel de la loi informatique et liberté:
Données personnelles:
Toute information qui permet de définir une personne physique, qu'elle soit interne ou externe à l'entreprise; la loi informatique et liberté (enrichi du RGPD) encadre les droits et devoirs concernant le traitement de ces données.
- Données sensibles (art.9 RGPD) (art.10 RGPD): selon la définition du RGPD, elles caractérisent les personnes par leur appartenance:
- religieuse, philosophique
- ethnique, raciale
- syndicale, politique
- orientation sexuelle
- Santé, biométrique, génétique
- NIR (numéro de sécurité sociale)
- Condamnations pénales & qualifications pénales
L'utilisation est strictement encadrée (interdite dans une grande majorité des cas).
Le responsable du traitement et ses sous-traitants doivent être en mesure de garantir
- la confidentialité
- l'intégrité
- la disponibilité
- la traçabilité
Le traitement des données
Le fonctionnement de l'entreprise, défini par des valeurs métiers qui pour être effectives, utilise des données qui sont:
- la collecte des données
- l'utilisation des données
- la conservation des données
- le transfert des données
- l'archivage des données
- l'anonymisation des données
- l'effacement des données
Finalité du traitement des données
- Pourquoi les données sont traitées?
Base légale du traitement des données
Bien définir la base légale du traitement n'est pas aisé, mais a une incidence sur les droits des personnes concernées.
- le consentement de la personne concernée
- la nécessité contractuelle
- le respect d'une obligation légale
- la sauvegarde d'intérêts vitaux
- l'exécutif d'une mission d'intérêt public
- les intérêts légitimes du responsable de traitement
Droits des personnes concernées
Fonction de la base légale déclarée (peut être redéfinie par un jugement!) les personnes concernées par un traitement de données personnelles peuvent faire valoir leurs droits:
- (art.15 RGPD) Droit d'accés
- (art.16 RGPD) Droit de rectification
- (art.17 RGPD) Droit d'effacement
- (art.18 RGPD) Droit à la limitation des données
- (art.20 RGPD) Droit à la portabilité
- (art.21 RGPD) Droit d'opposition
Responsable des traitements ou Sous-traitant
Pas toujours évident de définir le rôle de chacun.
Dépend de nombreuses notions, comme celui qui apporte les moyens ou le taux d'indépendance dans les décisions pour la réalisation du traitement.
Par exemple, un expert comptable peut être soit sous traitant soit responsable du traitement pour un même client, en fonction des missions confiées.
Le contrat de sous-traitance doit suivre les règles édictées par la DÉCISION D’EXÉCUTION (UE) 2021/915 DE LA COMMISSION du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants...
Territorialité des traitements
Dans EU - libre circulation
Principe interdiction vers "paradis de données"
(art.45 RGPD) reconnaissance d'adéquation: Andorre -Argentine - Suisse -Canada -iles Féroé -ile de Man -Guernesey -Jersey -Israel -Urugay -New zeland -Islande -Liechtenstein -Norvège
Protection contractuelle (art.46 RGPD): Modèles de contrat définis par Commision Europ.
BCR: Binding Corporate Rules) (art.47 RGPD):
Politique interne d'un groupe pour le traitement des données de façon international. Doit etre validé par un Régulateur local (type cnil) et valable dans toute l'UE.
(art.49 RGPD > exception si non répétitif non systématique - défendant intérêt de la personne concernée - sous conditions
Déposer plainte à la CNIL
https://www.cnil.fr/fr/adresser-une-plainte
Notification d'une violation de données personnelles
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
Sécurity by design
L'ensemble des nouveaux traitements doit être mis en place en respectant les notions de traçabilité, confidentialité, intégrité et disponibilité.
Les points suivants sont pris en compte:
- La notion de minimalisation des données traitées est bien respectée.
- Le droit des personnes est respecté.
- les durées de conservation sont bien identifiées.
- L'effacement programmé est effectif.
Accountability
Principe essentiel du RGPD, qui sert à démontrer l'implication du responsable des traitements à respecter et faire respecter tant que possible, la réglementation.
Ainsi la partie "légale" du règlement est une action de compréhension des enjeux de la protection des données personnelles, qui débute par une formation ou une initiation aux concepts déployés.
La partie technique et organisationnelle implique des ressources pour assurer la traçabilité, l'intégrité , la disponibilité et la confidentialité des données personnelles.
Dois je nommer un DPO (délégué à la protection des données )? La nature et la quantité des données personnelles traitées, définissent si un DPO est obligatoire, conseillé, ou non nécessaire.
Dois je effectuer un PIA (Analyse d'impact)? Pour une Pharmacie, la CNIL définie un seuil de 2,6M€ de chiffre d'affaire annuel au dessus duquel le PIA est demandé. L'action répressive de la CNIL prend en compte la notion d'accountability , dans sa démarche pour mener un responsable des traitements à respecter la législation.
L'action répressive de la CNIL prend en compte la notion d'accountability , dans sa démarche pour mener un responsable des traitements à respecter la législation.
En cas de problème, suite à une plainte reçue par la CNIL, c'est d'abord et avant tout l'engagement du responsable qui sera pris en compte.
Analyse d'impact
La réalisation d'une analyse d'impact fait appel à une méthodologie assez précise. Un DPO délégué à la Protection des données pourra diriger ces travaux de façon optimale.
Vous pouvez consulter la page ci-apres pour comprendre la nature de l'analyse.
https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-aipd
Formations
Le MOOC de la CNIL : https://atelier-rgpd.cnil.fr
Cultivez vos compétences numériques : https://pix.fr
Pix est le service public en ligne pour évaluer, développer et certifier les compétences numériques.
LA CNIL°, l'ANSSI°° & l'Agence du Numérique en Santé°°° ont édité des formulaires d'auto-évaluation, des référentiels et divers outils pour permettre aux entreprises de prendre des mesures de protection et de se conformer à la législation.
Évaluer le niveau de sécurité des données personnelles de votre organisme (questionnaire de la CNIL)
Catégories | Mesures | cnil (guide sécurité personnelle) Fiches: | Anssi (Guide hygiène informatique) Fiches: | Ou en est on? |
Sensibiliser les utilisateurs | Informer et sensibiliser les personnes manipulant les données | 1 | 1 & 2 | |
Rédiger une charte informatique et lui donner une force contraignante | ||||
Authentifier les utilisateurs | Définir un identifiant (login) unique à chaque utilisateur | 2 | 6 & 8 & 10 & 11 | |
Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL | ||||
Obliger l’utilisateur à changer son mot de passe après réinitialisation | ||||
Limiter le nombre de tentatives d’accès à un compte | ||||
Gérer les habilitations | Définir des profils d’habilitation | 3 | 5 & 7 & 9 & 12 | |
Supprimer les permissions d’accès obsolètes | ||||
Réaliser une revue annuelle des habilitations | ||||
Tracer les accès et gérer les incidents | Prévoir un système de journalisation | 4 | 4 & 16 & 36 & 40 | |
Informer les utilisateurs de la mise en place du système de journalisation | ||||
Protéger les équipements de journalisation et les informations journalisées | ||||
Prévoir les procédures pour les notifications de violation de données à caractère personnel | ||||
Sécuriser les postes de travail | Prévoir une procédure de verrouillage automatique de session | 5 | 14 & 17 & 29 & 34 | |
Utiliser des antivirus régulièrement mis à jour | ||||
Installer un « pare-feu » (firewall) logiciel | ||||
Recueillir l’accord de l’utilisateur avant toute intervention sur son poste | ||||
Sécuriser l'informatique mobile | Prévoir des moyens de chiffrement des équipements mobiles | 6 | 15 & 30 & 31 & 33 | |
Faire des sauvegardes ou des synchronisations régulières des données | ||||
Exiger un secret pour le déverrouillage des smartphones | ||||
Protéger le réseau informatique interne | Limiter les flux réseau au strict nécessaire | 7 | 19 & 20 & 21 & 22 & 23 & 32 | |
Sécuriser les accès distants des appareils informatiques nomades par VPN | ||||
Mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi | ||||
Sécuriser les serveurs | Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées | 8 | 26 & 27 &
28 |
|
Installer sans délai les mises à jour critiques | ||||
Assurer une disponibilité des données | ||||
Sécuriser les sites web | Utiliser le protocole TLS et vérifiez sa mise en œuvre | 9 | ||
Vérifier qu'aucun mot de passe ou identifiant ne passe dans les url | ||||
Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu | ||||
Mettre un bandeau de consentement pour les cookies non nécessaires au service | ||||
Sauvegarder et prévoir la continuité d'activité | Effectuer des sauvegardes régulières | 10 | 37 | |
Stocker les supports de sauvegarde dans un endroit sûr | ||||
Prévoir des moyens de sécurité pour le convoyage des sauvegardes | ||||
Prévoir et tester régulièrement la continuité d'activité | ||||
Archiver de manière sécurisée | Mettre en œuvre des modalités d’accès spécifiques aux données archivées | 11 | ||
Détruire les archives obsolètes de manière sécurisée | ||||
Encadrer la maintenance et la destruction des données | Enregistrer les interventions de maintenance dans une main courante | 12 | 35 | |
Encadrer par un responsable de l’organisme les interventions par des tiers | ||||
Effacer les données de tout matériel avant sa mise au rebut | ||||
Gérer la sous-traitance | Prévoir une clause spécifique dans les contrats des sous-traitants | 13 | 3 & 35 | |
Prévoir les conditions de restitution et de destruction des données | ||||
S’assurer de l'effectivité des garanties prévues (audits de sécurité́, visites, etc.) | ||||
Sécuriser les échanges avec d'autres organismes | Chiffrer les données avant leur envoi | 14 | 13 & 18 & 24 & 25 | |
S’assurer qu'il s'agit du bon destinataire | ||||
Transmettre le secret lors d'un envoi distinct et via un canal diffèrent | ||||
Protéger les locaux | Restreindre les accès aux locaux au moyen de portes verrouillées | 15 | 26 | |
Installer des alarmes anti-intrusion et les vérifier périodiquement | ||||
Encadrer les développements informatiques | Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux | 16 | ||
Éviter les zones de commentaires ou les encadrer strictement | ||||
Tester sur des données fictives ou anonymisées | ||||
Utiliser des fonctions cryptographiques | Utiliser des algorithmes, des logiciels et des bibliothèques reconnues | 17 | ||
Conserver les secrets et les clés cryptographiques de manière sécurisée |
°CNIL Commission nationale de l'informatique et des libertés
REFERENTIEL OFFICINES DE PHARMACIE
REFERENTIEL RESSOURCES HUMAINES
REFERENTIEL DUREE DE CONSERVATION (SANTE hors recherche)
°°ANSSI Agence nationale de la sécurité des systèmes d'information
GUIDE CARTOGRAPHIE DES SYSTEMES D'INFORMATION
°°°PGSSI-S Politique Générale de Sécurité des Systèmes d’Information de Santé
Plusieurs guides et notamment un questionnaire pour les fournisseurs (tres important!)
Le site e-santé pour d'autres informations:https://esante.gouv.fr/produits-services/pgssi-s/corpus-documentaire