La sécurité européenne n’est pas négociable

Frédéric Forster prévient les entreprises et organisations que la sécurité européenne n’est pas négociable, dans le dernier numéro du magazine EDI de novembre 2018 (1).

Plus de six mois après l’entrée en application du RGPD (2), quel bilan peut-on tirer en matière de mise en conformité des entreprises sur le terrain de la sécurité, et quelles actions prioriser ?

Le RGPD focalise toute sa puissance sur, d’une part, la protection de la confidentialité des données personnelles et, d’autre part, la sécurité.

Il s’agit, pour les entreprises et organismes de tous types, de :

sécurité européenneNe pas sous-estimer le travail associé au volet sécurité de la conformité, et la rupture que le RGPD a marquée dans la sensibilisation des personnes.

 

Ainsi, l’analyse d’impact a pour objectif de faire prendre conscience des risques suceptibles de toucher le traitement de données personnelles envisagé, et ce d’autant plus lorsque les données traitées sont sensibles par nature, telles que, par exemple, les données de santé.

La mise en place de mesures techniques et juridiques appropriées est une phase importante et non négligeable à tous points de vues, tous les organismes doivent y consacrer les moyens nécessaires : les plaintes déposées auprès de la Cnil commencent à affluer.

(1) Frédéric Forster, La sécurité européenne n’est pas négociable, EDI Mag n°83 nov 2018.
(2) Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).




Impacts du RGPD : frein ou levier pour la mobilité ?

Impacts du RGPDAnthony Coquer directeur Sécurité & Organisation, animera un petit-déjeuner débat consacré aux impacts du RGPD sur le transport des voyageurs en situation de mobilité, le 16 janvier 2019.

La liberté de circulation est le droit pour tout individu de se déplacer librement dans un pays, de quitter celui-ci et d’y revenir. Il est garanti par l’article 13 de la Déclaration universelle des droits de l’homme.

Le  25 mai 2018, le règlement (UE) 2016/679  dit RGPD relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel favorise la libre circulation de ces données et impose un standard élevé et uniforme en matière de protection des données à caractère personnel.

Les transports et plus généralement la mobilité favorisent les déplacements quotidiens des clients voyageurs. Quels sont les impacts du RGPD sur :

  • les opérateurs de transports ?
  • les autorités organisatrices de mobilité ?

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Le RGPD pas à pas : un atelier pratique à ne pas manquer

Céline Avignon et Jérémy BensoussanRGPD pas à pas animent un atelier pratique « Le RGPD pas à pas » le 14 novembre 2018.

Que vous soyez juristes, DAF, Directeurs marketing, Directeurs informatique, Présidents, administrateurs et gérants, Chefs d’entreprises, ou Gestionnaires de contrats, cet atelier « Le RGPD pas à pas » vous accompagnera sur le terrain dans la démarche de conformité à mener.

Ainsi, dans cet atelier seront par exemple abordées les grandes thématiques suivantes :

La sécurité des données personnelles, mode d’emploi

  • L’obligation de sécurité
  • Les grands principes d’une politique de sécurité des données
  • Quelles mesures pour quels traitements ?
  • La politique d’habilitation
  • L’encadrement de la maintenance et la destruction des données : bonnes pratiques
  • Sous-traitance : quelle clause ?

Le registre des traitements, outils de pilotage incontournable

  • Qui est concerné ? Obligation pour tous ?
  • Que doit-il précisément identifier ?
  • Comment constituer un registre ?
  • Rassembler les informations disponibles, éditer la liste des traitements, identifier les risques potentiels sur les traitements de données
  • Quelle forme et quel contenu bien précis doit-il avoir?
  • Une fiche de registre pour chaque activité de traitement : finalité du traitement, personnes concernées, transfert de données, délais prévus pour l’effacement
  • Focus sur le registre spécifique pour les activités de sous-traitance des données personnelles

Cet atelier a pour objectif de :

  • Mettre en place son plan d’action de mise en conformité étape par étape ;
  • Disposer de conseils pratiques et opérationnels ;
  • Eviter de lourdes sanctions.

Programme détaillé et inscription




La Cnil publie son guide sur la sécurité des données personnelles

sécurité des données personnellesLa Cnil publie son guide sur la sécurité des données personnelles pour aider à la mise en conformité des professionnels.

Précautions élémentaires sur la sécurité des données personnelles

Le guide sur la sécurité des données personnelles (1) rappelle tout d’abord les précautions élémentaires devant être mises en œuvre de façon systématique au regard de l’article 32 du RGPD, lequel dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Gestion des risques relatifs à la sécurité des données personnelles en quatre étapes

Le guide sur la sécurité des données personnelles a vocation à être utilisé dans le cadre d’une gestion des risques et se base sur quatre grandes étapes :

  • recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent ;
  • apprécier les risques engendrés pour chaque traitement grâce à l’identification
    – des impacts potentiels,
    – des sources de risque,
    – des menaces réalisables ;
  • mettre en œuvre et vérifier les mesures prévues ;
  • faire réaliser des audits de sécurité périodiques.

17 fiches pour aider à évaluer le niveau de sécurité des données personnelles

Le guide sur la sécurité des données personnelles prévoit dix-sept fiches pour aider les organismes à évaluer le niveau de sécurité des données personnelles.

Ces fiches décrivent les précautions élémentaires recommandées par la Cnil pour les dix-sept thèmes suivants :

1. Sensibiliser les utilisateurs

La Cnil préconise de rédiger une charte informatique et de lui donner une force contraignante (en l’annexant au règlement intérieur) et de prévoir la signature d’engagement de confidentialité ou d’insérer dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.

2. Authentifier les utilisations

La Cnil recommande de définir un identifiant unique par utilisateur et d’interdire les comptes partagés. Elle précise qu’un mot de passe contient 12 caractères minimum de 4 types différents si l’authentification repose uniquement sur le mot de passe.

3. Gérer les habilitations

Il est conseillé de limiter les accès aux seules données dont un utilisateur a besoin en définissant des profils d’habilitation, de supprimer les permissions d’accès obsolètes et de réaliser une revue annuelle des habilitations.

4. Tracer les accès et gérer les incidents

La Cnil recommande de prévoir les procédures pour les notifications de violation de données.

5. Sécuriser les postes de travail

Afin de garantir la sécurité des données personnelles et de sécuriser convenablement les postes de travail, la Cnil préconise de mettre en place une procédure de verrouillage automatique de session, d’utiliser des antivirus régulièrement mis à jour, d’installer un pare-feu logiciel et de recueillir l’accès de l’utilisateur avant toute intervention sur son poste.

6. Sécuriser l’informatique mobile

La Cnil recommande, pour sécuriser l’informatique mobile, de prévoir des moyens de chiffrement des équipements mobiles et de sauvegarder les données.

7. Protéger le réseau informatique interne

La Cnil préconise de limiter les flux réseau au strict nécessaire et de sécuriser les accès distants des appareils informatiques nomades.

8. Sécuriser les serveurs

Concernant les outils et interfaces d’administration, la Cnil recommande de :

  • limiter l’accès aux seules personnes habilitées ;
  • installer sans délai les mises à jour critiques ;
  • assurer une disponibilité des données.

9. Sécuriser les sites web

La Cnil conseille de vérifier qu’aucun mot de passe ou identifiant ne passe par les URL ainsi que le contrôle des entrées des utilisateurs correspondant à ce qui est attendu.

10. Sauvegarder et prévoir la continuité d’activité

La Cnil recommande d’effectuer des sauvegardes régulières et de stocker les supports de sauvegarde dans un endroit sûr.

11. Archiver de manière sécurisée

La Cnil recommande, à minima, de mettre en œuvre des modalités d’accès spécifiques aux données archivées et détruire les archives obsolètes de manière sécurisée.

12. Encadrer la maintenance et la destruction de des données

La Cnil suggère d’enregistrer les interventions de maintenance dans une main courante et d’encadrer par un responsable de l’organisme les interventions par des tiers.

13. Gérer la sous-traitance

Il est recommandé de prévoir une clause spécifique dans les contrats des sous-traitants et d’assurer l’effectivité des garanties prévues (audits de sécurité, visites, etc.).

14. Sécuriser les échanges avec d’autres organismes

La Cnil préconise de chiffrer les données avant leur envoi et de s’assurer qu’il s’agisse du bon destinataire.

15. Protéger les locaux

Il apparaît nécessaire pour la protection des locaux de restreindre les accès au moyen de portes verrouillées et d’installer des alarmes anti-intrusion.

16. Encadrer les développements informatiques

Il est ainsi élémentaire pour la Cnil d’intégrer la protection de la vie privée, y compris des exigences de sécurité des données dès la conception d’un développement informatique.

17. Chiffrer, garantir l’intégrité ou signer

Les signatures numériques, en plus d’assurer l’intégrité, permettent de vérifier l’origine de l’information et son authenticité. Le chiffrement permet de garantir également la confidentialité d’un message.

En conclusion, ce guide sur la sécurité des données personnelles permet aux organismes

  • de connaître les critères de niveau de sécurité élémentaires ;
  • d’instaurer une charte informatique, des modules de formation et des spécifications relatifs à la sécurité ;

et ce dès la conception de leurs produits et leurs services.

Polyanna Bigle
Lucie Antigny
Lexing Sécurité des systèmes d’information et dématérialisation

(1) Guide de la Cnil sur la sécurité des données personnelles.




RGPD quelle posture adopter à la veille de son entrée en application ?

RGPD quelle posture adopterRGPD quelle posture adopter à la veille de son entrée en application ? C’est le thème du petit-déjeuner débat du 16 mai 2018 animé par Aurélie Banck et Anthony Coquer.

Les dispositions du Règlement européen sur la protection des données (RGPD) seront directement applicables dans les Etats membres de l’Union européenne le 25 mai 2018. Autant dire demain.

A 9 jours de l’entrée en application du RGPD, les questions suivantes se posent  :

  • Comment « survivre » au Big Bang du RGPD ?
  • Quelle posture adopter à J-9 de l’entrée en application du RGPD ?
  • Quelles sont les actions à prioriser ?
  • Comment déployer et maintenir dans le temps votre système de management de la protection des données ? (Protection dès la conception et par défaut, accountability, DPIA et notifications des violations de données, etc.)

Car en effet, au-delà de la mise en conformité, la question du maintien en condition opérationnelle se posera également.

Ce petit-déjeuner débat animé par deux experts a été l’occasion de faire le point et de partager, à travers une approche transverse juridique, technique et organisationnelle, leurs conseils à la veille de la date fatidique du 25 mai 2018.

Aurélie Banck dirige le département Conformité RGPD Banque et Assurance et Anthony Coquer dirige le département Sécurité et Organisation du cabinet lexing Alain Bensoussan Avocats.

Le petit-déjeuner débat s’est déroulé dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscription close




Axis SmartShow : quelles tendances pour la sécurité en 2018 ?

Axis SmartShowAxis SmartShow : Sécurité, RGPD, robotique & IA seront au programme le 29 mars 2018 de cette 1ère édition à  laquelle participe le cabinet.

L ’Axis SmartShow, dont la 1ère édition se tiendra le 29 mars à Paris (et dès le 20 mars à Lyon), est l’occasion pour Axis Communication d’inviter, en présence d’un public d’intégrateurs, de distributeurs, de bureaux d’études et de clients finaux, des intervenants clés du secteur de la sécurité pour échanger dans le cadre de tables rondes.

Activités robotiques et IA : questions juridiques

« Quelles tendances pour la sécurité en 2018 ? » : c’est le thème de la table ronde qui se déroulera à Paris le 29 mars, lors de l’ Axis SmartShow organisée par la revue Protection Sécurité Magazine et animée par son rédacteur en chef Christophe Lapaze, à laquelle participera Jérémy Bensoussan, avocat au barreau de Paris, directeur du département Technologies robotiques et IA du cabinet Lexing Alain Bensoussan Avocats.

L’occasion pour Jérémy Bensoussan d’évoquer les implications juridiques des systèmes robotiques et d’intelligence artificielle, notamment en matière de responsabilité et de data.

Anthony Coquer

GDPR : comment se préparer et se protéger ?

Dans le cadre de cette journée, se déroulera également une table ronde consacrée à la protection des données à caractère personnel intitulée « GDPR : comment se préparer et se protéger ? » à laquelle participera Anthony Coquer, Directeur du département Sécurité & Organisation du cabinet Lexing Alain Bensoussan Avocats.

 

Axis SmartShow : Programme

9h00 : Accueil Petit Déjeuner
9h30 : Introduction
9h40 : Table ronde – GDPR Comment se préparer et se protéger ?
10h20 : Table ronde – Quelles tendances pour la sécurité en 2018 ?
11h00 : Pause – Démo et Village Partenaires
11h30 : Roadmap Axis
12h15 : KeyNote, par Jérôme Monceaux, CEO Spoon, créateur du robot humanoïde Spoony
12h45 : Cocktail – Démo et Village Partenaires
13h30 : Présentations Axis LIVE
15h00 : Fin

Axis SmartShow : Inscription
Lieu : Palais Brongniart, 16 Place de la Bourse, 75002 Paris

Eric Bonnet
Directeur du Département Communication juridique




Cloud computing world expo 2018 : réversible et souverain

Cloud computing world expo 2018Les 20 et 21 mars, Eric Le Quellenec et Daniel Korabelnikov sont intervenus lors du Cloud computing world expo 2018.

Ces interventions, sous forme de tables rondes, ont permis d’échanger, avec des sociétés, du secteur privé comme du secteur public, clientes récurrentes des fournisseurs de cloud computing, des bonnes pratiques dans le cloud computing sur les sujets suivants :

  • la réversibilité des contrats cloud : la réalité du terrain, vécue par les utilisateurs ;
  • les clouds « souverains » de 2e génération s’affichent publiquement.

Cloud computing world expo 2018 : la réversibilité des contrats cloud

La table ronde de ce Cloud computing world expo 2018, concernant la réversibilité des contrats cloud : la réalité du terrain, vécue par les utilisateurs posait les questions suivantes : Le changement de ‘sourcing’ n’est pas un scénario théorique. Que faut-il exiger des ‘providers’ ? Peut-on pratiquer le multi-sourcing sur le Cloud ? Comment s’organiser ? Quelles sont les clauses importantes ?

Monsieur Pierre Mangin, animateur de cette table ronde au Coud computing world expo 2018, était accompagné de Monsieur Jean-Marie Simonin (clouds automation Team Leader, Radio France), Monsieur Carlo Uzan (DSI transition, Infortive), Cyril Bartolo, (Directeur des applications, Groupe Lagardère) et Daniel Korabelnikov (avocat, Lexing Alain Bensoussan Avocats).

Ces échanges centrés sur les bonnes pratiques et les retours d’expérience n’ont pour autant pas occulté l’état des forces en négociation contractuelle entre les différents acteurs d’un projet cloud.

Les bonnes pratiques doivent être méthodologiquement intégrées par les clients pour user des bons leviers de négociation notamment avant la conclusion du contrat et éviter surtout d’être « captif ». Le mot d’ordre pour le client étant d’être autonome et de sortir du contrat le plus facilement possible, sans coût ou impossibilité technique (mise en œuvre de la portabilité des données par exemple).

Une clause de benchmark, sous condition de résiliation ou de réévaluation du prix du contrat, est une bonne pratique permettant de renégocier son contrat cloud tous les trois-quatre ans et d’analyser l’état économique et technique du marché.

Les questions d’un point de vue juridique, de la prévision contractuelle d’un plan de réversibilité à mettre à jour pendant l’exécution du contrat (en termes de tâches et de livrables attendus par le prestataire pour délimiter contractuellement le périmètre technique de la réversibilité), du planning de réversibilité et de son coût, doivent nécessairement se poser dès lors que l’on soulève les bonnes pratiques de la réversibilité dans le cloud.

La réversibilité doit faire l’objet d’une recette précise, sur la base d’un procès-verbal.

Il ne faut pas omettre un des nouveaux leviers de négociation des contrats cloud, au titre du RGPD, qui porte sur l’obligation du fournisseur Cloud de supprimer les données qu’il héberge à l’issue du contrat.

Cloud computing world expo 2018 : les opportunités du cloud souverain

Eric Le Quellenec (avocat, Lexing Alain Bensoussan Avocats) intervenait quant à lui à une table ronde portant sur les enjeux du cloud souverain et plus précisément sur les problématiques de localisation de la donnée et autres exigences du RGPD et de la directive NIS. À ses côtés Alain Merle, Directeur du programme de Transformation des Centres Informatiques, DINSIC et Christophe Boitiaux, Directeur marketing, T-SYSTEMS France apportaient leur témoignage côté client d’une part, prestataire dans l’Union européenne d’autre part.

L’intérêt d’un cloud souverain se renforce dans un contexte international instable et marqué par l’exacerbation de la compétition économique, donc d’un risque d’espionnage industriel renforcé.

Si les menaces liées au Patriot Act sont connues mais restent limitées, ce sont surtout les conséquences d’une éventuelle nouvelle loi américaine intitulée « cloud act » qui ont occupé les débats. « Cloud » signifie ici « clarifying lawful overseas use of data« . Ce texte d’opportunité autoriserait la justice américaine à obtenir des principaux acteurs du cloud toutes données peu importe leur localisation même hors des Etats-Unis d’Amérique dès lors qu’elles concernent une affaire jugée dans ce pays.

Eric Le Quellenec a rappelé les enjeux des transferts internationaux de données hors de l’Union européenne et les faiblesses du système de l’EU-US Privacy Shield venu en remplacement du Safe Harbour.

Il a ensuite conclu sur les futures certifications et codes de conduite sous-traitants prévues par le RGPD et qui devraient renforcer l’émergence d’un cloud souverain européen.

Alain Bensoussan Avocats
Lexing Département conseil informatique

Programme des conférences.




Cloud et conformité au RGPD : êtes-vous prêt à J-45 ?

Cloud et conformité au RGPDCloud et conformité au RGPD : êtes-vous prêt à J-45  ? C’était le thème du petit-déjeuner débat du 11 avril 2018 animé par Eric Le Quellenec et Edouard Camoin (Outscale).

Cloud et conformité au RGPD : la localisation des données

Depuis 10 ans, le Cloud Computing s’impose peu à peu comme une solution incontournable pour l’informatique d’entreprise. La localisation des données, leur confidentialité et sécurité n’est plus au cœur des préoccupations du DSI seulement mais aussi du juriste comme de la direction générale, en raison de l’application du RGPD au 25 mai 2018 et des sanctions très importantes encourues.

Le recours à des services de cloud ne peut se faire sans garantie quant à la localisation géographique effective des données et sans s’assurer des conditions légales posées par le règlement européen, en particulier pour les transferts de données en dehors de l’Union européenne.

Cloud et conformité au RGPD : une préoccupation conjointe

Le règlement européen pose un principe de responsabilité partagée avec les sous-traitants, hébergeurs et partenaires cloud. Ce faisant il change quelque peu la donne en matière de responsabilité. La sécurité des données doit donc être construite conjointement dans l’optique de réduire les risques tant du donneur d’ordre que des prestataires.

Dans une première partie, Eric Le Quellenec, directeur du département informatique conseil, s’est attaché à traiter de l’impact du Règlement européen sur les données personnelles pour les contrats cloud, en particulier sur :

  • les relations de sous-traitance et la négociation des clauses pertinentes associées ;
  • les modalités et la conduite des audits RGPD ;
  • la localisation des flux transfrontières et de la localisation des données ;
  • la réversibilité et la portabilité des données du Cloud.

Dans une seconde partie de ce petit déjeuner, Edouard Camoin, Responsable de la Sécurité des Systèmes d’Information de la société Outscale a présenté sa solution cloud 100 % française où comment le cloud souverain peut être une réponse pertinente aux exigences du RPGD.

Le petit-déjeuner débat s’est déroulé dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




L’impact du RGPD sur la DSI, Direction des systèmes d’information

L’impact du RGPD sur la DSILexing Alain Bensoussan Avocats est intervenu sur de la question de l’impact du RGPD sur la DSI Direction des systèmes d’information à la Cité de l’Espace, à Toulouse, dans le cadre d’une conférence organisée par Exaprobe, le 27 septembre 2017.

Ont été évoqués successivement les problématiques liées aux nouvelles obligations en matière de sécurité et de prévention, le cadre juridique particulier des analyses d’impact et les nouvelles règles relatives à la sous-traitance (1).

L’impact du RGPD sur la DSI en matière de sécurité

Il faut rappeler que la sécurité des données fait partie intégrante de l’article 5 du RGPD qui consacre les principes généraux relatifs au droit des données personnelles.

L’article 5, f) du RGPD dispose ainsi que les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées » (intégrité et confidentialité).

Ont également été détaillées les nouvelles obligations en termes de protection d’une part (art. 25 du RGPD) et de sécurisation des données d’autre part (art. 32 du RGPD).

L’impact du RGPD sur la DSI et la nouveauté des PIA

Il a également présenté le droit nouveau des analyses d’impact, aussi connu sous le terme de PIA (art. 35 et 36 du RGPD) que les responsables de traitement devront nécessairement réaliser lorsque le traitement, en particulier par le recours à des nouvelles technologies est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes.

L’impact du RGPD sur la DSI concernant les sous-traitants

Enfin ont été détaillées les nouvelles règles du jeu relatives à la relation entre le responsable de traitement et son ou ses sous-traitant(s) (art. 24 et suivants du GRPD) et notamment :

  • l’obligation, pour le responsable de traitement, de faire « uniquement appel » à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement et garantisse la protection des droits de la personne concernée ;
  • les 8 règles de fond que doivent respecter tous les contrats conclus entre un responsable de traitement et ses sous-traitants ;
  • les nouvelles règles relatives à la sous-traitance en cascade;
  • l’obligation d’alerte spécifique des sous-traitants sur les éventuels manquements au RGPD.

Lexing Alain Bensoussan Avocats
Lexing Droit numérique

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)




Anonymisation des données personnelles et impact du RGPD

Anonymisation des données personnelles et impact du RGPDPolyanna Bigle est intervenue le 18 juillet 2017 lors d’un webinar sur l’anonymisation des données et l’impact du RGPD.

Le 25 mai 2018, le Règlement Général sur la Protection des Données 2016/279 (RGPD) ou General Data Protection Regulation (GDPR) entrera en application pour toute entreprise, sans distinction de nationalité, qui collecte, manipule ou stocke des données à caractère personnel sur des citoyens ou des résidents de l’Union Européenne. L’heure est désormais venue pour les entreprises européennes et non européennes qui échangent des données avec l’Europe de mettre en œuvre un nouveau plan de gouvernance des données en conformité, où la sécurité des données prime.

Le 18 juillet 2017, Polyanna Bigle, Directrice du département Sécurité numérique du cabinet Lexing Alain Bensoussan Avocats, intervenait aux côtés de la société Trader’s lors d’un webinar sur l’anonymisation des données et l’impact du RGPD.

Elle répondait notamment aux questions suivantes : Qu’est-ce que l’anonymisation par rapport à la pseudonymisation ? Pourquoi mettre en oeuvre une mesure d’anonymisation des données ? Quel est le cadre légal pour la mettre en oeuvre ?

Eric Bonnet
Directeur du Département Communication juridique

 




Mise en conformité au RGPD : la feuille de route pour 2018

Mise en conformité au RGPD : la feuille de route pour 2018Céline Avignon dresse pour ecommercemag.fr la feuille de route de la mise en conformité au RGPD avant le 25 mai 2018.

Directrice du département Publicité et Marketing électronique au sein du cabinet Lexing Alain Bensoussan Avocats, Céline Avignon décrypte pour le site ecommercemag.fr, le « média du cross canal », les enjeux de la mise en conformité au Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD), à moins d’un an maintenant de son entrée en vigueur effective.

« 2017, la cote d’alerte »

Selon une enquête d’Arondor Serda Lab citée par Céline Avignon, « 55% des organisations ne savent pas que le RGPD entrera en vigueur en mai 2018 et qu’elles devront s’y conformer ». Et de citer la Présidente de la Cnil, Isabelle Falque Pierrotin, selon laquelle « 2017, c’est la cote d’alerte ».

Du côté des États membres, la France devra modifier sa loi Informatique et libertés pour la faire coïncider avec le RGPD : sans cette loi, le Règlement ne pourra être appliqué. Là encore, selon Céline Avignon, le temps presse : « ce projet devrait être adopté avant l’été, ce qui, compte tenu des échéances électorales à venir, semble ambitieux ». Pour résumer, « l’État a une pression pour élaborer un projet de loi nécessaire à l’application du RGPD et les entreprises doivent se préparer pour se mettre en conformité au texte, dont certaines dispositions renvoient au droit local non encore défini ».

Une chose est sûre : les entreprises privées et entités publiques doivent engager au plus vite une démarche de mise en conformité : « Tout le monde s’accorde à dire que ce qui compte est d’engager une démarche et de se mettre en posture pour 2018 ».

À cet égard, la tâche est, selon les professionnels, constituée de plus ou moins d’étapes : « La Cnil en relève 6, l’autorité de protection britannique 12 et la commission vie privée en Belgique, 13. Bien évidemment, selon le niveau de conformité initiale de l’organisme, la route de la conformité au RGPD pourra être jalonnée de moins d’étapes, puisque certaines obligations de la loi de 1978 sont reprises à l’identique, ou presque, dans le RGPD ».

Mise en conformité : quelle posture adopter ?

Alors, comment s’y prendre et comment mettre à profit le temps restant jusqu’à 2018, étant précisé que la taille de l’organisme est indifférente s’agissant des obligations ?

Céline Avignon détaille, dans son article, 5 règles à respecter :

1. Une décision de la direction générale : la démarche de mise en conformité doit être « initiée par la direction générale et entraîner l’ensemble des services pour devenir une nouvelle culture d’entreprise ».

2. La mise en place d’une organisation pour assurer la compliance : « Pour assurer la compliance, il faut désigner un pilote ». À cet égard, le RGPD impose, dans trois situations, la désignation d’un DPO ou délégué à la protection des données, nouveau personnage clé de l’environnement digital des entreprises.

3. Un état des lieux s’impose : « une fois l’organisation définie, il convient de réaliser un état des lieux pour établir un gap analysis (analyse d’écarts) ». À la suite de cette analyse, les zones de risque seront identifiées.

4. Se doter de politiques et de process : cela devient une nécessité en raison du principe de responsabilité ou d’accountability : « En effet, l’organisme, en cas de contrôle, devra être à même de démontrer qu’il a mis en œuvre les process, politiques et mesures organisationnelles pour respecter les RGPD ».

5. Adopter une démarche de privacy by design et de security by default : le RGPD impose ces deux démarches qui modifient le pilotage des projets au sein des organismes.

Le compte à rebours a commencé : les organisations doivent très vite prendre la mesure du RGPD et tout mettre en œuvre pour se mettre en conformité, compte tenu, notamment, des sanctions encourues.

Céline Avignon pour ecommercemag.fr, « [Tribune] RGPD : comment se mettre en posture de conformité pour 2018? », le 18 avril 2017

Eric Bonnet
Directeur du Département Communication juridique




Amende record pour une fuite de données massive au Royaume-Uni

Amende record pour une fuite de données massive au Royaume-Uni

Suite à une cyberattaque provoquant une importante fuite de données, le groupe Talk Talk a écopé d’une amende record.

L’ICO (Information Commissioner’s Office), l’organe de protection des données personnelles britannique, reproche au groupe Talk Talk d’avoir ignoré un risque sérieux, connu et techniquement évitable de cyberattaque, causant le piratage de 156 959 comptes dont 15 656 numéros de comptes bancaires.

Une base de données vulnérable

Lors de l’acquisition des activités britanniques de la société Tiscali, le groupe Talk Talk a également fait l’acquisition de pages internet vulnérables donnant accès à une base de données plus que fournie en données personnelles puisqu’elle contenait les noms, adresses, dates de naissance, numéros de téléphone, adresses méls et informations bancaires et financières de nombreux clients.

Le groupe Talk Talk a été victime d’une série de cyberattaques commises entre le 15 et le 21 octobre 2015, utilisant manifestement des failles de sécurité de son système d’informations qui se sont traduites par la fuite de ses données, découverte à cause du ralentissement de son système informatique.

Une cyberattaque connue et techniquement évitable

La cyberattaque a été réalisée à l’aide d’une « injection SQL » qui consiste à modifier une requête SQL (Structured Query Langue ou en français langage de requête structurée) afin de se connecter à n’importe quel compte d’une base de données sans pour autant connaître le mot de passe et, par ce biais, d’en exfiltrer les données.

Or, comme le précise l’ICO, non seulement ce type de cyberattaque est très répandu mais, également, il existe des protections efficaces et connues permettant d’éviter ou de réduire le risque de contamination.

Dès lors, ayant échoué à « prendre des mesures techniques et organisationnelles appropriées » pour assurer une protection effective contre les traitements non autorisés ou illicites de données personnelles, le groupe Talk Talk a violé le 7e principe de protection des données personnelles prévu dans le Data Protection Act de 1998 et, par conséquent, a été condamné à régler une amende record de 400 000 euros.

Les raisons d’une amende élevée

L’importance de cette sanction s’explique notamment par le caractère sérieux de l’attaque, notamment du fait de l’ampleur de l’extraction de la base de données, de la nature des données, et de ses potentielles conséquences pour les clients.

De plus, cette décision est un avertissement vis-à-vis des entreprises qui ne prennent pas suffisamment au sérieux les risques de cyberattaques pouvant mener à la fuite de données personnelles de clients alors que, non seulement le risque est réel mais également, il existe des techniques efficaces pour y remédier ou prévenir ce risque.

Des risques réels pour les entreprises effectuant des traitements de données en France

En France, l’article 34 de la loi Informatique et Libertés impose que les entreprises prennent toutes précautions utiles visant à préserver la sécurité des données personnelles sous peine d’être pénalement sanctionnées.

En outre, dans le cas d’une violation de la sécurité de données faisant l’objet d’un traitement, les fournisseurs de services de communications électroniques ont, en vertu de l’article 34 bis de la loi Informatique et Libertés, l’obligation de prévenir sans délai la Cnil ainsi que les clients, en cas de risque d’atteinte à la vie privée.

Le principe de protection des données par défaut (« security by default ») instauré par le règlement (UE) 2016/679 sur la protection des données personnelles, vient renforcer cette obligation de veiller à la sécurité et à la confidentialité des données personnelles, tout en étendant cette obligation à tous les acteurs économiques, quel que soit leur secteur d’activité. Il implique, en conséquence, que les responsables de traitement mettent en place, dès la conception et l’élaboration du produit ou du service, des mesures techniques et organisationnelles appropriées relatives à la protection des données personnelles.

Alain Bensoussan Avocats
Lexing Droit Télécoms




Failles de sécurité et violation de données personnelles

Couverture Minilex Failles de sécurité« Failles de sécurité et violation de données personnelles » la dernière publication du cabinet Alain Bensoussan Avocats Lexing aux éditions Larcier , premier ouvrage permettant aux entreprises de savoir comment réagir sur le plan juridique lorsqu’elles sont confrontées à une fuite de données.

Les médias se font régulièrement l’écho de comptes clients dérobés lors d’attaques informatiques ou dévoilées sur internet, et ce en raison d’une mauvaise configuration d’un site web, d’une « faille de sécurité ».

De la gestion à la production en passant par le marketing, quel que soit le secteur d’activité, l’informatique et plus généralement les réseaux sont omniprésents et rendent vulnérable toute organisation face aux failles de sécurité.

Qu’est-ce qu’une violation de sécurité : une faille ou un défaut ?

Cette expression a une acception très large. Elle recouvre tous les éléments qui portent atteinte à un système de traitement automatisé de données : les erreurs, les bogues, mais aussi les fraudes internes et externes. Elle traduit le fait qu’à un instant des données se trouvent avoir été corrompues.

Les risques sont importants : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles, et lourds de conséquences tant sur le plan financier qu’en termes d’image.

Comment notifier à la Cnil et informer les clients et partenaires lorsque la faille de sécurité a conduit à une violation de données à caractère personnel ? Quelles sont les organisations soumises à cette obligation de notification et d’information ? Quelles sont les mesures de protection appropriées et les actions qui doivent être mises en œuvre ? Quels sont les recours et sanctions en cas d’exploitation d’une faille de sécurité par des pirates informatiques ? Quels services spécialisés de la police ou de la gendarmerie peut-on solliciter ? Comment ce cyber risque est-il couvert par les assureurs ?

Autant de questions abordées par cet ouvrage à jour du nouveau Règlement européen sur la protection des données adopté le 27 avril 2016, qui notamment généralise à l’ensemble des entreprises, quel que soit leur secteur d’activité, l’obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées.

Second ouvrage de la collection des MiniLex qui rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie, le MiniLex Failles de sécurité et violation de données personnelles, a été rédigé par Virginie Bensoussan-Brulé, Chloé Torres, avec la collaboration de Gérôme Billois, Senior Manager, et Vincent Nguyen, consultant senior, au cabinet Solucom.

Il est édité par les éditions Larcier dans la collection Lexing-Technologies avancées & Droit. Il est préfacé par Lazaro Pejsachowicz, Président du Clusif.

MiniLex Failles de sécurité et violation de données personnelles, Ed. Larcier, Juillet 2016 (146 p.).




Adoption du Paquet Protection des données

Adoption du Paquet Protection des donnéesAlain Bensoussan décode le Paquet Protection des données dans son  « blog expert Droit des technologies avancées » sur le site du Figaro.

Le règlement général sur la protection des données ainsi que la directive relative à la protection des données à caractère personnel à des fins répressives ont été adopté le 14 avril 2016 par le Parlement européen (1) après 4 années de débats intensifs, d’amendements et de votes successifs avant d’arriver à l’adoption du Paquet « Protection des données à caractère personnel ».

Le Paquet Protection des données vise à réformer la législation communautaire d’une part et à remplacer la directive générale sur la protection des données qui datait de 1995 d’autre part.

Le règlement européen sur la protection des données (2) consacre de nouveaux concepts et impose aux entreprises de « disrupter » leurs pratiques et de revoir leur politique de conformité Informatique et libertés.

Si les formalités administratives sont simplifiées pour mettre en œuvre un traitement, les obligations sont en revanche renforcées pour assurer une meilleure protection des données personnelles :

  • la démarche de « Privacy by design » (respect de la protection des données dès la conception) (Règlement, art. 25 §1) ;
  • la démarche de « Security by default » (sécurité par défaut) (Règlement, art. 25 §2) ;
  • les règles d’accountability (obligation de documentation) (Règlement, art. 24) ;
  • l’étude d’impact avant la mise en œuvre de certains traitements (Règlement, art. 35) ;
  • la désignation obligatoire d’un Data Protection Officer (DPO) (Règlement, art. 37) ;
  • les nouveaux droits fondamentaux des personnes (droit à l’oubli, droit à la portabilité des données, etc.).

(…)

Alain Bensoussan pour Le Figaro, Blog Expert « Droit des technologies avancées», « Adoption du Paquet « Protection des données à caractère personnel » », 15-4-2016.

(1) Règlement, texte consolidé adopté par le Conseil le 8 avril 2016, CONS(2016)05419(REV1).




Failles de sécurité : quel régime juridique ?

Failles de sécurité : quel régime juridique ?Quel est le régime juridique des failles de sécurité ? Chloé Torres répond aux questions de la rédaction de La Semaine juridique. Mais que recouvre exactement l’expression « faille de sécurité » ?

Quelles sont les obligations légales et en quoi consiste votre intervention ? Quelles sont les tendances ?

L’expression « failles de sécurité » est régulièrement utilisée par les médias qui se font l’écho de comptes clients dérobés lors d’attaques informatiques ou dévoilées sur Internet en raison d’une mauvaise configuration d’un site web. Cette expression recouvre tous les éléments qui portent atteinte à un système de traitement automatisé de données : les erreurs, les bugs mais aussi les fraudes internes et externes. Elle traduit le fait qu’à un instant des données à caractère personnel se trouvent avoir été corrompues.

L’article 34 bis de la loi Informatique et libertés utilise la terminologie de « violation de données personnelles » définit de manière extrêmement large comme toute destruction, perte, altération, divulgation ou accès non autorisé à des données.

L’entreprise victime d’une faille de sécurité doit mettre en place une cellule de crise habituellement composée de la Direction des systèmes d’information (DSI), du responsable de la sécurité des systèmes d’information (RSSI), de la direction juridique et d’un avocat spécialisé. Cette cellule de crise est chargée de piloter les principales actons (audit de sécurité, dossier de preuve technique, stratégie de communication vis-à-vis de la Cnil et des médias, assurance, etc.).

La proposition de règlement européen sur la protection des données qui devrait être adopté fin 2015 début 2016 va étendre à l’ensemble des entreprises l’obligation de notifier auprès de la Cnil toute violation de données à caractère personnel. Un texte qui aura un impact sur de nombreuses activités économiques…

Chloé Torres, « 3 questions : Failles de sécurité : quel régime juridique ?« , La Semaine Juridique – Entreprise et Affaires, n° 4, 22 janvier 2015.