Accueil

De Système d\'information: Conformité et Sécurité
Aller à la navigation Aller à la recherche

S.I. pour système d'information

Un S.I. est composé de l'ensemble des instruments informatiques par les quels les données de l'entreprise transitent, sont stockées, archivées ou supprimées.

Pour une définition très précise reportez vous à wikipedia:fr:Système_d'information.

Quelque soit la taille de l'entreprise, il semble qu'aujourd'hui 100% des entreprises aient créé une dépendance plus ou moins importante en vers leur système d'information. Le S.I. est devenu une composante transversale des biens de l'entreprise et mérite une attention accrue

Imaginez les possibles conséquences pour un médecin qui n'a pas accès au dossier médical d'un patient "compliqué", qu'il doit traité en urgence! ou d'une entreprise de dépannage qui n'a plus accès à ses lignes de reception d'appels!

Data pour données de l'entreprise

Biens intangibles de l'entreprise, les Data peuvent être décomposées comme suit:

Ces données sont croisées avec un principe essentiel de la loi informatique et liberté:

Données personnelles:

Toute information qui permet de définir une personne physique, qu'elle soit interne ou externe à l'entreprise; la loi informatique et liberté (enrichi du RGPD) encadre les droits et devoirs concernant le traitement de ces données.

  • Données sensibles (art.9 RGPD)  (art.10 RGPD): selon la définition du RGPD, elles caractérisent les personnes par leur appartenance:
    • religieuse, philosophique
    • ethnique, raciale
    • syndicale, politique
    • orientation sexuelle
    • Santé, biométrique, génétique
    • NIR (numéro de sécurité sociale)
    • Condamnations pénales & qualifications pénales

L'utilisation est strictement encadrée (interdite dans une grande majorité des cas).
Le responsable du traitement et ses sous-traitants doivent être en mesure de garantir

  • la confidentialité
  • l'intégrité
  • la disponibilité
  • la traçabilité
Le traitement des données

Le fonctionnement de l'entreprise, défini par des valeurs métiers qui pour être effectives, utilise des données qui sont:

  • la collecte des données
  • l'utilisation des données
  • la conservation des données
  • le transfert des données
  • l'archivage des données
  • l'anonymisation des données
  • l'effacement des données
Finalité du traitement des données
  • Pourquoi les données sont traitées?
Base légale du traitement des données

Bien définir la base légale du traitement n'est pas aisé, mais a une incidence sur les droits des personnes concernées.

  • le consentement de la personne concernée
  • la nécessité contractuelle
  • le respect d'une obligation légale
  • la sauvegarde d'intérêts vitaux
  • l'exécutif d'une mission d'intérêt public
  • les intérêts légitimes du responsable de traitement
Droits des personnes concernées

Fonction de la base légale déclarée (peut être redéfinie par un jugement!) les personnes concernées par un traitement de données personnelles peuvent faire valoir leurs droits:

  • (art.15 RGPD) Droit d'accés
  • (art.16 RGPD) Droit de rectification
  • (art.17 RGPD) Droit d'effacement
  • (art.18 RGPD) Droit à la limitation des données
  • (art.20 RGPD) Droit à la portabilité
  • (art.21 RGPD) Droit d'opposition
Responsable des traitements ou Sous-traitant

Pas toujours évident de définir le rôle de chacun.

Dépend de nombreuses notions, comme celui qui apporte les moyens ou le taux d'indépendance dans les décisions pour la réalisation du traitement.

Par exemple, un expert comptable peut être soit sous traitant soit responsable du traitement pour un même client, en fonction des missions confiées.

Le contrat de sous-traitance doit suivre les règles édictées par la DÉCISION D’EXÉCUTION (UE) 2021/915 DE LA COMMISSION du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants...

Territorialité des traitements

Dans EU - libre circulation

Principe interdiction vers "paradis de données"

(art.45 RGPD) reconnaissance d'adéquation: Andorre -Argentine - Suisse -Canada -iles Féroé -ile de Man -Guernesey -Jersey -Israel -Urugay -New zeland -Islande -Liechtenstein -Norvège

Protection contractuelle (art.46 RGPD): Modèles de contrat définis par Commision Europ.

BCR: Binding Corporate Rules) (art.47 RGPD):

Politique interne d'un groupe pour le traitement des données de façon international. Doit etre validé par un Régulateur local (type cnil) et valable dans toute l'UE.

(art.49 RGPD  > exception si non répétitif non systématique - défendant intérêt de la personne concernée - sous conditions

Déposer plainte à la CNIL

https://www.cnil.fr/fr/adresser-une-plainte

Notification d'une violation de données personnelles

https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

Sécurity by design

L'ensemble des nouveaux traitements doit être mis en place en respectant les notions de traçabilité, confidentialité, intégrité et disponibilité.

Les points suivants sont pris en compte:

  • La notion de minimalisation des données traitées est bien respectée.
  • Le droit des personnes est respecté.
  • les durées de conservation sont bien identifiées.
  • L'effacement programmé est effectif.
Accountability

Principe essentiel du RGPD, qui sert à démontrer l'implication du responsable des traitements à respecter et faire respecter tant que possible, la réglementation.

Ainsi la partie "légale" du règlement est une action de compréhension des enjeux de la protection des données personnelles, qui débute par une formation ou une initiation aux concepts déployés.

La partie technique et organisationnelle implique des ressources pour assurer la traçabilité, l'intégrité , la disponibilité et la confidentialité des données personnelles.

Dois je nommer un DPO (délégué à la protection des données )? La nature et la quantité des données personnelles traitées, définissent si un DPO est obligatoire, conseillé, ou non nécessaire.

Dois je effectuer un PIA (Analyse d'impact)? Pour une Pharmacie, la CNIL définie un seuil de 2,6M€ de chiffre d'affaire annuel au dessus duquel le PIA est demandé. L'action répressive de la CNIL prend en compte la notion d'accountability , dans sa démarche pour mener un responsable des traitements à respecter la législation.

L'action répressive de la CNIL prend en compte la notion d'accountability , dans sa démarche pour mener un responsable des traitements à respecter la législation.

En cas de problème, suite à une plainte reçue par la CNIL, c'est d'abord et avant tout l'engagement du responsable qui sera pris en compte.

Analyse d'impact

La réalisation d'une analyse d'impact fait appel à une méthodologie assez précise. Un DPO délégué à la Protection des données pourra diriger ces travaux de façon optimale.

Vous pouvez consulter la page ci-apres pour comprendre la nature de l'analyse.

https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-aipd
Formations

Le MOOC de la CNIL : https://atelier-rgpd.cnil.fr

Cultivez vos compétences numériques :  https://pix.fr  

Pix est le service public en ligne pour évaluer, développer et certifier les compétences numériques.

LA CNIL°, l'ANSSI°° & l'Agence du Numérique en Santé°°° ont édité des formulaires d'auto-évaluation, des référentiels et divers outils pour permettre aux entreprises de prendre des mesures de protection et de se conformer à la législation.

Évaluer le niveau de sécurité des données personnelles de votre organisme (questionnaire de la CNIL)
Catégories Mesures cnil (guide sécurité personnelle) Fiches: Anssi (Guide hygiène informatique) Fiches: Ou en est on?
Sensibiliser les utilisateurs Informer et sensibiliser les personnes manipulant les données 1 1 & 2
Rédiger une charte informatique et lui donner une force contraignante
Authentifier les utilisateurs Définir un identifiant (login) unique à chaque utilisateur 2 6 & 8 & 10 & 11
Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL
Obliger l’utilisateur à changer son mot de passe après réinitialisation
Limiter le nombre de tentatives d’accès à un compte
Gérer les habilitations Définir des profils d’habilitation 3 5 & 7 & 9 & 12
Supprimer les permissions d’accès obsolètes
Réaliser une revue annuelle des habilitations
Tracer les accès et gérer les incidents Prévoir un système de journalisation 4 4 & 16 & 36 & 40
Informer les utilisateurs de la mise en place du système de journalisation
Protéger les équipements de journalisation et les informations journalisées
Prévoir les procédures pour les notifications de violation de données à caractère personnel
Sécuriser les postes de travail Prévoir une procédure de verrouillage automatique de session 5 14 & 17 & 29 & 34
Utiliser des antivirus régulièrement mis à jour
Installer un « pare-feu » (firewall) logiciel
Recueillir l’accord de l’utilisateur avant toute intervention sur son poste
Sécuriser l'informatique mobile Prévoir des moyens de chiffrement des équipements mobiles 6 15 & 30 & 31 & 33
Faire des sauvegardes ou des synchronisations régulières des données
Exiger un secret pour le déverrouillage des smartphones
Protéger le réseau informatique interne Limiter les flux réseau au strict nécessaire 7 19 & 20 & 21 & 22 & 23 & 32
Sécuriser les accès distants des appareils informatiques nomades par VPN
Mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi
Sécuriser les serveurs Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées 8 26 & 27 &

28

Installer sans délai les mises à jour critiques
Assurer une disponibilité des données
Sécuriser les sites web Utiliser le protocole TLS et vérifiez sa mise en œuvre 9
Vérifier qu'aucun mot de passe ou identifiant ne passe dans les url
Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu
Mettre un bandeau de consentement pour les cookies non nécessaires au service
Sauvegarder et prévoir la continuité d'activité Effectuer des sauvegardes régulières 10 37
Stocker les supports de sauvegarde dans un endroit sûr
Prévoir des moyens de sécurité pour le convoyage des sauvegardes
Prévoir et tester régulièrement la continuité d'activité
Archiver de manière sécurisée Mettre en œuvre des modalités d’accès spécifiques aux données archivées 11
Détruire les archives obsolètes de manière sécurisée
Encadrer la maintenance et la destruction des données Enregistrer les interventions de maintenance dans une main courante 12 35
Encadrer par un responsable de l’organisme les interventions par des tiers
Effacer les données de tout matériel avant sa mise au rebut
Gérer la sous-traitance Prévoir une clause spécifique dans les contrats des sous-traitants 13 3 & 35
Prévoir les conditions de restitution et de destruction des données
S’assurer de l'effectivité des garanties prévues (audits de sécurité́, visites, etc.)
Sécuriser les échanges avec d'autres organismes Chiffrer les données avant leur envoi 14 13 & 18 & 24 & 25
S’assurer qu'il s'agit du bon destinataire
Transmettre le secret lors d'un envoi distinct et via un canal diffèrent
Protéger les locaux Restreindre les accès aux locaux au moyen de portes verrouillées 15 26
Installer des alarmes anti-intrusion et les vérifier périodiquement
Encadrer les développements informatiques Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux 16
Éviter les zones de commentaires ou les encadrer strictement
Tester sur des données fictives ou anonymisées
Utiliser des fonctions cryptographiques Utiliser des algorithmes, des logiciels et des bibliothèques reconnues 17
Conserver les secrets et les clés cryptographiques de manière sécurisée

°CNIL Commission nationale de l'informatique et des libertés

REFERENTIEL OFFICINES DE PHARMACIE

REFERENTIEL RESSOURCES HUMAINES

REFERENTIEL DUREE DE CONSERVATION (SANTE hors recherche)

Guide durée de conservation

°°ANSSI Agence nationale de la sécurité des systèmes d'information

GUIDE CARTOGRAPHIE DES SYSTEMES D'INFORMATION

°°°PGSSI-S Politique Générale de Sécurité des Systèmes d’Information de Santé

Plusieurs guides et notamment un questionnaire pour les fournisseurs (tres important!)

Le site e-santé pour d'autres informations:https://esante.gouv.fr/produits-services/pgssi-s/corpus-documentaire