Parchafik
Les chiffres sur les notifications de violations de données en 11 mois de RGPD
Après la publication par la CNIL des chiffres liés aux notifications de violations de données à caractère personnel sur https://www.data.gouv.fr/, voici les informations que j’ai jugé utile de relevé et de faire figurer sur des graphiques pour que cela soit plus lisible.
Ce qui est marquant concernant ces notifications, c’est leur grand nombre et ce en quelques mois: 1650 au total en moins d’un an.
Les notifications par secteur d’activité
Lorsqu’on analyse ce graphique, nous voyons que quasiment tous les secteurs d’activités ont connu des fuites de données et que les entreprises prennent en compte de notifications des cas de violations de données personnelles.
Les causes des incidents
Quasiment plus de 1000 notifications indiquent une cause externe malveillante soit environ 60%
Nature de la violation
L’accès illégitime représente plus de 85% de la nature de violation
Nous constatons que l’obligation de notifications en cas de violations de données, auprès de la CNIL commencent à entrer dans les bonnes pratiques des entreprises et il faut encourager cela.
Il faut également inciter encore plus les entreprises à aller vers la conformité au RGPD afin de mieux sécuriser leurs données car malheureusement les menaces ne cessent d’augmenter.
Sources: Open Data de la CNIL sorti en mai 2019
Article écrit par Chafik MOHAMED, Consultant en sécurité informatique et RGPD
Parchafik
Bon vent au RGPD
Ca y est le RGPD est appliqué dans les pays de l’UE depuis le 25 mai 2018 et donc bon vent au RGPD 🙂
Dans cet article, je souhaite insister sur le fait que le ce règlement constitue une véritable opportunité pour votre entreprise et je vous encourage donc à entreprendre, si ce n’est pas déjà fait, la démarche de mise en conformité et voici ces opportunités (sources: CNIL et BPIFrance):
1. Renforcer la confiance
Toute personne qui vous confie ses données personnelles établit avec vous une relation de confiance et souhaite le respect de ses droits et de sa vie privée.
Le RGPD réaffirme les droits pour les personnes concernées de maîtriser leurs données en leur conférant des droits : droits d’accès, de rectification,
d’effacement, d’opposition, etc. Respecter ces droits contribue à valoriser votre image d’entreprise sérieuse et responsable.
Une opportunité de sceller une relation de confiance avec vos interlocuteurs et d’améliorer votre image de marque !
2. Améliorer votre efficacité commerciale
Pour vendre vos produits ou vos services, vous avez besoin de prospecter, de connaître vos clients et de gérer la facturation. Pour cela, vous constituez des fichiers concernant vos clients et prospects.
Si le RGPD réaffirme le principe d’exactitude et de mise à jour des données enregistrées dans un fichier, maintenir vos fichiers à jour est surtout dans l’intérêt même du développement de votre chiffre d’affaires.
En ayant une gestion rigoureuse de vos données, vous gagnez donc en efficacité et en productivité !
3. Mieux gérer votre entreprise
Avec le temps et le développement de votre entreprise, votre volume de données augmente et nécessite de mobiliser de plus en plus de moyens humains et techniques (espace de stockage, logiciels adaptés, etc.) pour les gérer, les mettre à jour, et en assurer la sécurité.
Le principe de « minimisation » des données (« Je ne collecte que les données dont j’ai vraiment besoin ») et l’obligation de tenir à jour la liste de vos fichiers vous permettent de faire le point sur les données que vous collectez et d’identifier vos besoins réels.
Le RGPD exige par ailleurs que les données soient pertinentes par rapport à l’objectif pour lequel vous collectez les données.
Appliquer ces principes vous permet donc d’optimiser vos investissements.
L’arrivée du RGPD est ainsi une occasion forte de se poser les bonnes questions sur son activité et ses process (comme cela a été par exemple le cas lors du passage du papier à la dématérialisation).
4. Améliorer la sécurité des données de votre entreprise
L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques. Ces dernières peuvent avoir des conséquences désastreuses sur l’activité des entreprises. Le niveau de sécurité de l’entreprise dans sa globalité se pose en préalable à la sécurité des données.
Au même titre que vous protégez le nom de votre PME ou son logo, vitaux pour le fonctionnement de votre entreprise, les données personnelles doivent faire l’objet de mesures de sécurité
particulières, informatiques et physiques.
Protéger son patrimoine informationnel et protéger les personnes concernées des atteintes à leurs données, c’est donner à son entreprise des moyens de se développer sereinement.
5. Rassurer vos clients et donneurs d’ordre et ainsi développer votre activité
Dans tous les secteurs d’activité, les donneurs d’ordre seront très attentifs à la mise en œuvre du RGPD par leurs prestataires.
Il s’agit donc d’un sujet crucial pour les sous-traitants qui traitent des données personnelles pour le compte d’entreprises, à la fois pour maintenir leurs relations commerciales existantes mais également pour éventuellement en conquérir de nouvelles.
Si vous respectez le RGPD, vous aurez un avantage concurrentiel !
6. Créer de nouveaux services
Le RGPD introduit aussi de nouveaux concepts pouvant se traduire en nouveaux services (exemple : la portabilité des données).
Le développement et l’organisation de ces nouveaux outils et services représentent de véritables défis et de nouvelles opportunités économiques (exemple : sur les plateformes en ligne pour la musique, les vidéos, l’utilisateur pourrait à terme faire exporter ses choix, ses listes de préférences, etc.).
L’utilisateur final pourrait fortement gagner en termes d’expérience, ces éléments entreront alors dans sa décision d’achat !
7. Se mettre en conformité avec Sheo Technology
Nous vous accompagnons dans votre démarche de mise en conformité au RGPD en vous proposant une offre qui correspondra vraiment à vos besoins.
Sheo Technology, s’appuie sur des partenaires juridiques mais aussi techniques notamment en cybersécurité afin de pouvoir vous faire une proposition vraiment très complète et qui englobe l’ensemble des différents services de votre entreprise ou association.
Vous pouvez télécharger ici nos offres de mise en conformité
Parchafik
J-1 de la mise en application du RGPD
A J-1 de la mise en application du RGPD, je vois une grande effervescence sur le sujet et même de la panique chez certains entrepreneurs.
Or selon moi, la panique n’a pas lieu d’être car on doit considérer le RGPD comme une opportunité de mieux sécuriser nos données, de mieux sensibiliser les citoyens sur leurs droits par rapport à leurs données, sur les bonnes pratiques à avoir sur le net et au niveau du système d’information en général et cela ne doit pas se faire dans la précipitation :).
C’est ma vision et je voulais vous la partager. Donc faire peur avec les sanctions financières ce n’est pas pour moi.
Profitez donc des quelques jours qui restent pour mettre à niveau votre site internet et le mettre en conformité au RGPD surtout si vous avez dessus:
- un formulaire de contact
- une inscription à une newsletter
- un questionnaire en ligne
- des consultations en ligne
- des cookies
- et d’autres outils
L’objectif est d’informer les surfeurs des traitements qui sont faites et des droits dont ils disposent.
Il faut donc modifier ou ajouter si nécessaire:
- des mentions légales
- une politique de protection des données
- une politique des cookies
Il faut indiquer dans la politique de protection des données plusieurs éléments dont:
- l’identité et les coordonnées du responsable du traitement
- les coordonnées du délégué à la protection des données (DPO)
- l’objectif poursuivi (gestion et suivi des dossiers de ses clients)
- la base juridique du traitement
- les intérêts légitimes poursuivis s’il s’agit d’une base légale de traitement
- les destinataires ou catégories de destinataires des données (sous-traitants, huissiers…)
- la durée de conservation des données
- les éventuels transferts de données vers des pays hors UE
- les droits des personnes concernées (accès, rectification, effacement, opposition, limitation…)
- le droit de retirer son consentement à tout moment s’il s’agit de la base légale du traitement
- le droit d’introduire une réclamation auprès d’une autorité de contrôle
- les informations sur le caractère règlementaire ou contractuel du traitement s’il s’agit de la base légale du traitement.
Parlons hébergeur
Je veux vous partager mon avis concernant le fournisseur de services et hébergeur OVH, je viens d’assister à un Webinar sur leur engagement à être conforme au RGPD et j’ai été séduit par le discours clair que prône cette société, les engagements prises notamment via le Code de conduite Cispe Cloud.
Je ne peux que recommander à tous ceux et celles qui cherchent un sous-traitant Compliant RGPD, d’aller chez eux (attention je ne suis pas commercial et j’ai pas d’actions chez eux 🙂 ).
Je vous partagerais le lien de la vidéo dès que je la recevrais.
So Keep Calm and be Accountable
Parchafik
Sheo Technology signe accord de partenariat avec PECB
Accord de partenariat avec PECB
Sheo Technology est très fier d’annoncer la signature d’un accord de partenariat avec l’un des leaders mondiaux dans le domaine de la formation et de la certification, à savoir PECB.
Par ce partenariat, nous voulons permettre aux entreprises de la zone océan indien (Réunion, Mayotte, Maurice, Comores, Seychelles et Madagascar) de bénéficier de formation de qualité dans le domaine de la sécurité informatique et de la protection des données (RGPD).
Avec ce partenariat, Sheo Technology va pouvoir délivrer des examens de certifications ainsi que des audits de certification de système de management, qui sont devenus primordiales pour tout professionnel.
Enfin, cet accord va permettre de désenclaver la zone océan indien et réduire les délais de certifications et d’audit pour toutes les entreprises de la zone.
À propos de PECB
PECB est un organisme de certification pour les personnes, les systèmes de management et les produits sur un large éventail de normes internationales. En tant que fournisseur mondial de services de formation, d’examen, d’audit et de certification, PECB offre son expertise dans plusieurs domaines, dont la sécurité de l’information, l’informatique, la continuité des activités, le management des services, les systèmes de management de la qualité et l’environnement.
Pour plus d’informations sur les principaux objectifs et activités de PECB, veuillez visiter www.pecb.com.
Catalogue de formation PECB
Très prochainement nous mettrons en ligne, les différentes formations dans les domaines du Management de la sécurité de l’information, Sécurité de l’IT, la Gouvernance, risque et conformité notamment sur le RGPD, que nous allons dispenser ainsi que les différentes certifications que nous allons pouvoir délivrer.
N’hésitez pas donc pas à revenir sur notre site dans les prochains jours pour les découvrir
Cordialement
Chafik MOHAMED
Responsable de Sheo Technology
Parchafik
Carte interactive de la protection des données personnelles dans le monde
Voici une carte interactive de la protection des données personnelles dans le monde. Elle pour objectif de bien comprendre le niveau de protection et les différentes lois appliquées dans chaque pays afin de vous aider sur le process de mise en conformité au RGPD.
La carte n’est pas encore complètement finie. Elle le sera très prochainement.
Cette carte comporte ou comportera les éléments suivants:
- Le niveau de protection de chaque pays
- Le titre de la loi ou du projet de loi
- Les liens vers les documents de loi de chaque pays
- Les pays membres de l’AFAPDP (l’Association francophone des autorités de protection des données personnelles)
- Le site web de l’autorité de conformité et son adresse postale
- Des remarques importantes sur les lois appliquées
Merci pour votre compréhension et n’hésitez pas à me faire votre retour
Parchafik
Infographie du RGPD
Un groupe de travail composé de RSSI et DPO du CLUSIF (le Club de la sécurité de l’information français) a élaboré une infographie du RGPD afin d’aider à mieux comprendre les différents process et la portée de la réglementation.
Cliquez sur l’image pour télécharger le pdf
Parchafik
L’essentiel du RGPD modélisé
Dans le cadre des fiches pratiques du RGPD par Sheo Technology, voici une fiche sur l’essentiel du RGPD modélisé sous format mind-mapping.
En m’inspirant du Whiteboard du professeur Daniel J Solove de l’université de Georges Washington, j’ai modélisé les grands domaines de la Réglementation Générale de la Protection des Données (RGPD) qui sera mise en application le 25 mai 2018 et ce dans un objectif d’aider à bien assimiler la portée de cette réglementation.
Le RGPD a vocation à s’appliquer aux traitements de données à caractère personnel, qu’ils soient automatisés (même en partie) ou non (à condition que les données traitées soient contenues ou appelées à figurer dans un fichier) de tous les citoyens européens.
Cette fiche est une 1ère version et elle sera certainement revue et corrigée dans l’avenir en prenant en compte les changements apportées par la CNIL mais aussi par vos remarques constructives.
Merci de cliquez sur l’image pour l’agrandir.
Je remercie grandement le professeur Daniel J Solove pour ses travaux de vulgarisation du RGPD aux US et les articles très intéressants sur ce sujet.
A venir prochainement les fiches sur les fournisseurs cloud et leur mise en conformité au RGPD
PS: les sources présentes sur notre site ne doivent pas être reproduites sans la permission des auteurs par contre vous pouvez liker et partager dans les réseaux sociaux afin qu’un maximum de monde puisse profiter de ce mind-mapping.
Très bonnes fêtes à vous tous et toutes
Parchafik
RGPD: La qualification d’un incident
Voici l’arbre de décision mise en place par la CNIL, qui doit permettre au DPO ( Data Privacy Officer ou Délégué à la protection des données) de qualifier un incident afin de déterminer l’autorité ou les autorités compétentes qui doivent recevoir la notification (initiale et complémentaire).
RGPD la qualification d’incident
Je rappelle qu’en cas en de violation de données personnelles, il faut « documenter » l’incident, c’est-à-dire tenir un registre interne dans lequel seront consignés les faits concernant la violation, ses effets et les mesures prises pour y remédier La CNIL mettra dans les mois qui viennent, un téléservice permettant de faire cette notification
A bientôt pour d’autres fiches sur la notification d’incident dans le cadre du RGPD.