cyber

Navigation par étiquette

 
 

Le RGPD : qu’est-ce que c’est et comment ça marche ?

Le nouveau règlement européen sur la protection des données personnelles, autrement appelé règlement général sur la protection des données (RGPD) ou en anglais General Data Protection Regulation, entrera en application le 25 mai 2018 et permettra à l’Europe de s’adapter aux nouveaux enjeux du numérique.

 

Il a un double objectif :

– plus de transparence et contrôle pour les personnes dont les données sont manipulées par les entreprises, y compris pour les entreprises situées hors UE.

– offrir une meilleure confidentialité et protection pour les données, notamment par une harmonisation dans l’ensemble de l’UE de la gestion des données des résidents UE.

 

Qui est concerné : les entreprises (toute taille/tous secteurs), organismes publiques, associations, entreprises dont siège est hors UE mais dont l’activité concerne l’UE et ses résidents ;

en bref, toute organisation traitant des données personnelles ; ou systématiquement lorsqu’un résident européen est visé par un traitement de donnée.

 

Quelles données sont concernées :

Toute donnée dite « personnelle », c’est-à-dire toute donnée permettant d’identifier, même de manière indirecte, une personne physique. ex : nom prénom coordonnées adresses mail, santé, immatriculation VHL, n° contrat ou n° client

NB : les données « sensibles » regroupent à la fois les renseignements sur les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, les données relatives à la santé, à l’orientation sexuelle, les données génétiques ou biométriques ou bien enfin les historiques d’infractions ou de condamnations pénales.

 

Les principes et exigences des nouvelles normes ?

1- La responsabilisation (accountability en anglais) : c’est à l’entreprise et à ses sous-traitants de se mettre en conformité avec la réglementation. De plus, tous doivent être en mesure de démontrer que les démarches pour se mettre en conformité ont été entreprises.

2- La sécurité dès la conception (privacy by design) : c’est-à-dire que les services et produits issus de l’activité des organismes régis par la nouvelle réglementation se doivent d’assurer la protection des données personnelles collectées. Ce principe concerne également les systèmes d’information d’une nouvelle base de données mise en place ou encore le système de protection d’une application dès sa conception.

3- La protection en cas de compromission (security by default) : le système d’information doit posséder différents niveaux de sécurité. Il doit être capable de détecter toute anomalie ou intrusion, et apporter des solutions pour y remédier.

4- La désignation d’un DPO (Data Protection Officer) dont le rôle consiste à s’assurer de la conformité au RGPD, mais également d’être l’interlocuteur avec les autorité de la CNIL.

NB : Pour les TPE et PME, il est possible de désigner un DPO qui œuvre pour plusieurs entreprises à la fois.

5- La réalisation d’étude d’impact : Préalablement à la mise en œuvre d’un système de traitement de données susceptible faire l’objet d’atteintes, un document doit résumer les différents risques auxquels ce système s’expose et dresser un panel de mesures pour réduire l’impact d’une faille potentielle.

 

L’idée majeure : renforcer le droit des individus :

Transparence : l’information mise à disposition à qui de droit se doit d’être accessible, intelligible et claire. Les clients ou utilisateurs qui mettent à disposition leurs données personnelles doivent être informés de l’usage qui en est fait et ils doivent fournir leur consentement explicite.

Droit d’accès : les utilisateurs peuvent demander à tous moments l’accès aux données qui les concernent.

Droit à la portabilité : redonner aux clients la maîtrise de leurs données. Leur permettre de les récupérer sous format ouvert et lisible afin de les stocker ou de les réutiliser.

Droit à l’oubli : un utilisateur peut demander l’effacement des données à caractère personnel qui le concerne.

Droit de réparation des dommages matériels ou moraux : toute personne ayant subi un préjudice du fait d’une violation des RGPD peut demander réparation au responsable ou au sous-traitant du traitement des données.

 

Des responsabilités partagées entre Représentant légal de l’organisme, le Data Protection Officer, et les sous-traitants, qui eux aussi, se doivent de respecter les grands principes, mais également de fournir des conseils auprès du responsable pour le traitement des données. En cas de problème, le responsable de traitement ainsi que le sous-traitant pourront être sanctionnés.

 

Quelles sanctions : il convient de bien se protéger car les sanctions sont de taille : la somme la plus importante sera retenu entre 20 millions d’euros d’amende ou 4 % CA annuel en cas de violation des principes de base ou en cas de non-respect du droit d’accès des personnes physiques. De plus, des dommages et intérêts pour préjudice subi suite à un non respect des RGPD sera également à prévoir, toujours à la charge des entreprises.

Toutefois, la sanction peut se  cantonner à 10 millions d’euros d’amende ou 2 % CA annuel s’il s’agit de faute telle que la non tenue du registre de traitement des données, de non réalisation d’étude d’impact, ou bien faute de mesure de sécurité appropriée  mise en place par les responsables de traitement et/ou les sous-traitants, 

 

Voici les étapes indispensables pour se mettre en conformité avec le RGPD.

  • Générer des mention d’information*1 : informer qui est derrière la collecte, combien de temps ces données seront conservées, à quelles fins et comment exercer ses droits.
  • Créer un formulaire de contact par lequel vos clients peuvent demander d’accéder aux données qui les concernent
  • Demander l’accord aux personnes et leur permettre de le retirer
  • Adopter un système de sécurité adapté*2
  • Analyse du système d’information, des fichiers, de tous les documents contenant des données personnelles
  • Créer un registre de traitement des données*3
  • Prévoir des clauses de protection des données avec les sous-traitants*4
  • Notifier à la CNIL les violations de données sous 72h
  • Si les données sont jugées sensibles, une étude d’impact doit être réalisée*5

 

Quelques liens utiles :

Se préparer à la RGPD en six étapes

Modèles de mention d’information*1

Guide de la securite des donnees personnelles*2

Cartographier vos traitements de donnees personnelles*3

Sous-traitance, exemple de clause*4

outil CNIL – telechargez et installez le logiciel de simulation*5

 

S’assurer contre la cybercriminalité : pour qui et pour quoi ?

Professionnels, une cyberattaque peut vous toucher à tout moment. Pour y faire face, des solutions d’assurance existent !

 

 

 

 

 

La cyberattaque ne touche pas uniquement les grands groupes, la plupart d’entre elles touche les PME ou les TPE et leur cout est conséquent lorsqu’il est ramené au chiffre d’affaires. 8 entreprises sur 10 dans le monde avouent avoir été concernées par une tentative de cyberattaque au cours du dernier exercice mais uniquement 37% ont mis en place un plan de crise en cas d’attaque.

Quelle que soit la taille de votre entreprise, vous êtes donc exposés au risque cyber.

La menace est protéiforme et mondiale, la dernière en date est l’une des plus puissantes jamais enregistrées (rebaptisée « Wanna cry ») et a obligé de très grandes entreprises telles que Renault à revoir leur système informatique.

Les frais engendrés par ces cyberattaques peuvent atteindre des sommes colossales : frais de gestion de crise, indisponibilité du réseau informatique et donc pertes d’exploitation, couts de communication (notification à chaque client du risque encouru, communiqués …), mise en cause de votre responsabilité civile et paiement d’amendes.

L’anecdote d’Adélie :

Un client gérant d’un magasin de vêtements s’est fait pirater son fichier client. Un demande de rançon lui a été adressée et le pirate l’a menacé de supprimer son fichier, d’utiliser les données bancaires des clients stockées pourtant très ponctuellement, mais aussi d’infecter tous ses contacts.
Le client a tenté de déposer plainte mais ne savait pas quoi déclarer.

Les solutions qui lui ont été apportées :

  • Prise en charge des dommages causés suite à la perte ou au détournement de données
  • Prise en charge des frais de notification aux propriétaires des données si besoin
  • Prise en charge des honoraires de société spécialisée pour conseiller, identifier et supprimer la faille de sécurité
  • Prise en charge des frais de restauration des données perdues
  • Prise en charge des frais de remise en ligne du site internet endommagé
  • Prise en charge de la perte de revenus
  • Prise en charge du montant de la rançon

Comment se prémunir :

On semble se trouver démuni lorsqu’on gère une PME ou une TPE, mais des mesures simples peuvent être prises.

En matière de prévention, des gestes simples sont à rappeler à vos collaborateurs et salariés : choisir avec soin ses mots de passe et ne pas choisir toujours le même, effectuer régulièrement les mises à jour des appareils et des sauvegardes régulières, prendre garde aux vols et à la sécurité des réseaux utilisés lors de déplacements, ne pas télécharger de programmes qui ne sont pas issus du site officiel éditeur ou faire attention en ouvrant les mails.

Une solution de gestion de crise peut être étudiée et mise en œuvre dans votre entreprise par vos managers et par vous-mêmes. En effet, des contrats d’assurance permettent de couvrir les principales dépenses qui peuvent être engendrées par une cyberattaque et des experts peuvent être mis à votre disposition pour vous aider lorsque le risque se réalise (avocats, experts informatiques, experts en matière de communication …).

Nous nous proposons de vous aider en effectuant un audit des risques informatiques qui existent dans votre entreprise et en vous proposant des solutions adaptées à vos besoins. N’hésitez donc pas à nous contacter au téléphone au 02 99 20 31 90 ou par mail à l’adresse contact@adelie-assurances.com.