Suivez nous sur Twitter

/// Blog Archive

19 nov / 2012
Author: 6ix IT Tags: , , , , , Comments: 14

Bookmark and Share

Comment va être appliquée la loi sur les données  personnelles ?

On parle beaucoup de la possible augmentation de la TVA dans le secteur de la restauration, avec tous les jeux de mot que l’on connait, mais ce sont les DSI et plus largement tous les responsables informatiques qui vont recevoir une addition vraiment salée…

Une directive, la fameuse 95/46/CE, texte de référence sur la question des données personnelles est sur le point d’être modifiée dans le but de remettre un peu d’ordre dans tout ça.

A quelle sauce allons-nous être mangés ?

L’objectif de ce projet de loi qui devrait voir le jour début 2013 vise à renforcer le cadre juridique autour de la protection des données personnelles.

Sans pour autant aller jusqu’à en refaire une analyse complète, l’objectif est clair : sensibiliser les entreprises à la sécurité des données personnelles qu’elles gèrent.

Ce projet de loi européen impose notamment :

  • L’obligation de définir des processus en internet autour de la réglementation Informatique et liberté,
  • L’obligation de mettre en place une politique de Sensibilisation et Formation au sein des entreprises,
  • La mise en place d’une cellule interne dédiée à la gestion des traitements des données.

Pour de gros groupes à dimension internationale, disons que cette nouvelle réglementation pourra être supportée car ils bénéficient déjà d’équipes dédiées à la sécurité de leur système d’information mais pour les plus petites structures comme les PME, c’est une autre histoire.

Et ce sont malheureusement ces entreprises qui sont les plus exposées.

Lorsqu’on pense données personnelles, on pense immédiatement aux données vraiment sensibles comme les informations relatives à la santé ou encore les données bancaires. Mais il y’a beaucoup d’autres informations qui rentrent dans le cadre de cette nouvelle réglementation.

Sites e-commerce, publicité, jeux en ligne, tous les secteurs sont aujourd’hui concernés par la gestion des données personnelles. On pense également risques liés aux contrats de sous-traitance…

On l’aura compris, cette loi touche toutes les entreprises.

Se pose maintenant la question de l’application de cette loi européenne.

Comment ces nouvelles dispositions vont pouvoir être appliquées en France ?

C’est sans doute la CNIL qui aura la lourde responsabilité de s’en occuper. En tout cas, de nombreuses actions vont dans ce sens :

 

Le dispositif semble se mettre en place et on y voit un peu plus clair sur que ce que l’avenir réserve à nos DSI.

Pour information, le référentiel correspond à une liste d’exigences ou de spécifications à laquelle l’entreprise devra répondre afin d’obtenir ce label. Ces exigences correspondent aux critères permettant d’évaluer la conformité des procédures aux dispositions de la loi «Informatique et Libertés».

On notera les points suivants :

  • Identification des procédures internes
  • Identification des traitements
  • Appréciation de la licéité des traitements
  • Identification des personnes accédants aux données
  • Analyse des durées de conversation
  • Respect du droit des personnes et du droit à l’oubli
  • Respect des traitements particuliers

 

Oui, c’est un référentiel très lourd qu’a publié la CNIL.

Combien ?

 

Gare aux rebelles ! Il est prévu des amendes pouvant aller jusqu’à 2% du CA de l’entreprise qui refuserait de mettre en place ces dispositions…

Le projet de loi européen vient donc serrer la vis de tout les responsables de fichier: c’est un vrai bouleversement dans la gestion des données.

Mais cette effervescence autour de la thématique « donnée personnelles » existe à plusieurs niveaux :Tant au niveau de la cybercriminalité qu’au niveau de l’actualité juridique.

Tous les jours on entend dans la presse spécialisée – et même dans la presse grand public – qu’un fichier contenant des informations sensibles se retrouve « dans la nature ». Cela porte un nom : La fuite de données.

C’est sans doute ce qui va coûter le plus cher aux mauvais élèves. Encore une fois, la grande majorité des entreprises exposées à ces risques sont les PME et ce ne sont pas forcement les plus à même de suivre l’actualité juridique ni même de tenir une vraie politique de sécurité…

Va-t-il y’avoir des sanctions prises à l’encontre de ces entreprises déjà affaiblies par la perte d’une partie de leur base de donnée ?

On ne l’espère pas.

Il est certain que l’idée de sensibiliser les entreprises à la sécurité est une bonne idée. Une excellente idée même. C’est sans doute l’application de cette nouvelle loi qui devra être traduite intelligemment de manière à ne pas pénaliser les petites entreprises.

A ce jour, l’obtention de ce label CNIL est facultatif et rien n’oblige les entreprises à se faire labéliser (on parle d’ailleurs de label et non de certification). Malheureusement les exigences décrites dans ce référentiel sont très lourdes pour la grande majorité des entreprises en France et on espère voir émerger de nouvelles solutions d’audit « informatique et liberté » alternatives !

Il ne reste maintenant qu’à croiser les doigts pour que la CNIL, très pédagogue, continue dans ce sens et ne passe pas du coté de la répression.

26 oct / 2012
Author: 6ix IT Tags: , , , , Comments: 19 771

Bookmark and Share

Ça  s’agite à Bruxelles. Ça s’agite même beaucoup depuis le début de l’année 2012. La fameuse directive 95/46/CE, directive qui constitue le texte de référence sur la question des données personnelles  est sur le point d’être modifié.

Les entreprises des états membres de l’union européenne auront très bientôt pour obligation la mise en conformité de leur système d’information et plus globalement, de ces systèmes de traitement automatisé des données à caractère personnel.

Sans prendre en compte la lourde partie juridique, de nombreuses contraintes techniques et organisationnelles vont être imposées aux entreprises françaises.

Pour être concret, cela signifie des procédures à rédiger et évidemment à appliquer en interne. Dans ces procédures est inclus l’inclusion d’une politique SIF (cela comprends formation, sensibilisation et information du personnel régulièrement).

Des audits de sécurité devront également être conduits régulièrement avec l’objection protection des données personnelles.

Et attention aux entreprises qui ne voudraient pas s’y conformer, des amendes sont prévues dans ce futur projets de loi européen  Les première fuites parlent de sommes considérables (2% du CA global) et de somme atteignant le million d’euros pour les organismes publics.
Cette loi risque donc de bouleverser le paysage de la sécurité, et ce pour toutes les entreprises d’Europe. Les plus exposées à ces risques seront bien évidemment les entreprises exposées sur Internet (on ne parle pas ici de site vitrine mais webservice s’appuyant sur des API et donc avec le SI vraiment exposé).

D’autres contraintes sont également imposées par le dispositif européen et sont lourdes de conséquences, car elles ont un coût:

  • Prise en compte de la vie privée dès la conception – Privacy by Design
  • Suivi des systèmes et utilisateurs interagissant avec les données personnelles stockées.
  • Mise en place d’équipe spécialisée sur le monitoring des données stockées

On peut d’ores et déjà se poser la question de comment de telles contraintes vont être imposées aux entreprises européennes. Certification ? Label ? Mise en place d’une Autorité de « régulation » ?

La CNIL qui oeuvre depuis de nombreuses années dans ce sens met en place un label CNIL. L’idée est bonne.

Mettre en place une loi, pourquoi pas, mais qui sera en charge d’en vérifier la bonne application? Une autorité de régulation comme l’Arjel ? Avec la délivrance d’autorisation, de certificats de conformité ?

Affaire à suivre dans tout les cas.

On peut néanmoins se poser la question de l’accessibilité de ce label CNIL à la vue du référentiel proposé et/ou des budgets nécessaires à la surveillance des réseaux.


/// Twitter Feed

Find out what's happening, right now, with the people and organizations you care about.

Copyright 2012-2013 © 6ix IT