Parchafik
Carte interactive de la protection des données personnelles dans le monde
Voici une carte interactive de la protection des données personnelles dans le monde. Elle pour objectif de bien comprendre le niveau de protection et les différentes lois appliquées dans chaque pays afin de vous aider sur le process de mise en conformité au RGPD.
La carte n’est pas encore complètement finie. Elle le sera très prochainement.
Cette carte comporte ou comportera les éléments suivants:
- Le niveau de protection de chaque pays
- Le titre de la loi ou du projet de loi
- Les liens vers les documents de loi de chaque pays
- Les pays membres de l’AFAPDP (l’Association francophone des autorités de protection des données personnelles)
- Le site web de l’autorité de conformité et son adresse postale
- Des remarques importantes sur les lois appliquées
Merci pour votre compréhension et n’hésitez pas à me faire votre retour
Parchafik
Infographie du RGPD
Un groupe de travail composé de RSSI et DPO du CLUSIF (le Club de la sécurité de l’information français) a élaboré une infographie du RGPD afin d’aider à mieux comprendre les différents process et la portée de la réglementation.
Cliquez sur l’image pour télécharger le pdf
Parchafik
Baromètre de la cyber-sécurité
Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) vient de sortir le baromètre de la cyber-sécurité des entreprises.
Voici ce que je retiens de cette enquête:
– Une grande majorité d’entreprises touchées par des cyber-attaques qui ont des impacts direct sur le business.
– Le ramsomware reste l’attaque la plus fréquente.
– De plus en plus d’entreprises en plus de l’amélioration des techniques de défenses recourent de plus aux cyber-assurances.
– Le budget IT lié à la sécurité est estimé à 5% malgré la croissance fort des cyber-attaques.
– Le cloud pose des soucis aux entreprises en terme de confidentialité des données
– Le BYOD (bring your own device) met à à mal sécurité dans les entreprises
– Le RGPD est un sujet très important au sein de l’IT et représente un coût supplémentaire malgré cela, le RGPD est très bien perçu par les entreprises qui y voient un réel moyen de renforcer la protection des données.
– Beaucoup de RSSI cumulent en plus de leur fonction, celui de DPO (Data Protection Officer).
Ce dernier point me pose un souci car selon moi, il aura forcément conflit d’intérêt entre les deux fonctions ce qui n’est pas permis dans le RGPD. D’après moi, ce sont 2 rôles complémentaires mais pas unitaires.
Et vous en pensez quoi?
Parchafik
Ça ne rigole pas avec la protection des données en Angleterre
Le #RGPD va donner encore plus de pouvoir aux Autorités de supervision et les sanctions seront plus lourdes en cas de manquement à la sécurité des données personnelles.
Cette semaine c’est Darty qui a été sanctionné par la @CNIL – Commission Nationale de l’Informatique et des Libertés
En Angleterre, l’équivalent de la CNIL, l’ICO, (Information Commissioner’s Office), vient d’infliger une très lourde amende de plus de 500 000€ à l’opérateur de téléphonie, @Carphone Warehouse pour une cyberattaque qui a eu lieu en 2015 où 3 millions de données clientes ont été piratées.
Les données clientes compromises comprenaient: les noms, adresses, numéros de téléphone, dates de naissance, état civil et, pour plus de 18 000 clients, les détails historiques des cartes de paiement.
L’autorité de supervision a constaté plusieurs insuffisances dans la sécurisation des données des clients et a déterminé que la société n’avait pas pris les mesures nécessaires pour protéger les renseignements personnels.
L’ICO a estimé qu’il s’agissait d’une violation grave du principe 7 de la loi de 1998 sur la protection des données en Angleterre d’où l’amende record infligée.
Je rappelle que les sanctions seront plus lourdes avec la mise en application du RGPD en cas de manquement avéré à la protection des données personnelles.
Donc il serait temps pour les entreprises européennes d’entamer la démarche de mise en conformité au RGPD avant le 25 mai 2018.
Parchafik
#RGPD #Sécurité: Une violation de données à la sécurité intérieure US
Selon le site cyberscoop, le DHS (Department of Homeland Security), organe de la sécurité intérieure américaines, a informé ses employés ce mercredi, qu’une violation de données concernant 240 000 personnes a eu lieu depuis mai 2017, mais n’a pas été divulguée en raison d’une enquête criminelle en cours.
Une copie non autorisée de son système de gestion des affaires d’enquête a été trouvée en la possession d’un ancien employé du DHS.
Les données piratées n’ont pas été exposées à une activité malveillante, a déclaré le DHS
Cette violation doit rappeler à tous les responsables de traitement du #RGPD qu’il faut aussi penser que la violation des données peut se produire de l’intérieur de la société et mettre en place les mécanismes de protection afin de rendre les données inexploitables lorsqu’ils sont sortis du périmètre de l’entreprise.
Sources:
DHS confirms data breach affecting more than 240,000 current and former employees
https://gizmodo.com/homeland-security-data-breach-affects-240-000-federal-e-1821755817
Parchafik
L’essentiel du RGPD modélisé
Dans le cadre des fiches pratiques du RGPD par Sheo Technology, voici une fiche sur l’essentiel du RGPD modélisé sous format mind-mapping.
En m’inspirant du Whiteboard du professeur Daniel J Solove de l’université de Georges Washington, j’ai modélisé les grands domaines de la Réglementation Générale de la Protection des Données (RGPD) qui sera mise en application le 25 mai 2018 et ce dans un objectif d’aider à bien assimiler la portée de cette réglementation.
Le RGPD a vocation à s’appliquer aux traitements de données à caractère personnel, qu’ils soient automatisés (même en partie) ou non (à condition que les données traitées soient contenues ou appelées à figurer dans un fichier) de tous les citoyens européens.
Cette fiche est une 1ère version et elle sera certainement revue et corrigée dans l’avenir en prenant en compte les changements apportées par la CNIL mais aussi par vos remarques constructives.
Merci de cliquez sur l’image pour l’agrandir.
Je remercie grandement le professeur Daniel J Solove pour ses travaux de vulgarisation du RGPD aux US et les articles très intéressants sur ce sujet.
A venir prochainement les fiches sur les fournisseurs cloud et leur mise en conformité au RGPD
PS: les sources présentes sur notre site ne doivent pas être reproduites sans la permission des auteurs par contre vous pouvez liker et partager dans les réseaux sociaux afin qu’un maximum de monde puisse profiter de ce mind-mapping.
Très bonnes fêtes à vous tous et toutes
Parchafik
RGPD: La qualification d’un incident
Voici l’arbre de décision mise en place par la CNIL, qui doit permettre au DPO ( Data Privacy Officer ou Délégué à la protection des données) de qualifier un incident afin de déterminer l’autorité ou les autorités compétentes qui doivent recevoir la notification (initiale et complémentaire).
RGPD la qualification d’incident
Je rappelle qu’en cas en de violation de données personnelles, il faut « documenter » l’incident, c’est-à-dire tenir un registre interne dans lequel seront consignés les faits concernant la violation, ses effets et les mesures prises pour y remédier La CNIL mettra dans les mois qui viennent, un téléservice permettant de faire cette notification
A bientôt pour d’autres fiches sur la notification d’incident dans le cadre du RGPD.
Parchafik
Microsoft Compliance Manager Preview disponible
Microsoft a lancé la console Compliance Manager Preview afin de gérer la conformité (RGPD) des différents produits cloud à partir d’un seul endroit.
L’accès est gratuite pour les utilisateurs de Microsoft 365, Azure et Dynamics 365 (y compris les utilisateurs d’essai) Compliance Manager Preview est un tableau de bord qui fournit un résumé de la protection des données et de l’état actuelle en terme conformité, ainsi que des recommandations pour améliorer la protection des données et cette conformité.
Compliance Manager va aide sur 3 aspects clés:
- Permet d’effectuer une évaluation des risques en temps réel sur les services cloud Microsoft.
Compliance Manager fournit un tableau de bord résumant votre conformité aux exigences réglementaires en matière de protection des données qui vous importent lors de l’utilisation des services cloud Microsoft. Dans chaque cadre de contrôle, vous pouvez obtenir un score de conformité qui reflète votre état en matière de conformité en temps réel et vous aide à effectuer des évaluations des risques en temps réel.
- Fournit des informations exploitables pour améliorer vos capacités de protection des données.
Vous pouvez obtenir des informations détaillées sur Microsoft et votre responsabilité de respecter les normes de conformité. Pour chaque contrôle géré par Microsoft, vous pouvez voir les détails d’implémentation et de test du contrôle, la date du test et les résultats. Pour les contrôles que vous gérez, vous recevrez des actions recommandées avec des instructions pas à pas pour la mise en œuvre et les tests. Cet outil vous aidera à mieux comprendre comment utiliser les fonctionnalités de Microsoft Cloud pour mettre en œuvre efficacement les contrôles que vous gérez.
- Simplifie les processus de conformité grâce à la gestion de contrôle intégrée et aux outils de génération de rapports prêts à être audités.
Compliance Manager vous aide également à simplifier votre processus de conformité en vous fournissant l’outil de gestion des contrôles qui vous permet d’assigner des tâches et de collaborer plus efficacement entre les équipes. Vous pouvez générer des rapports prêtes à l’audit avec des preuves en quelques clics, ce qui réduit le besoin de collecter manuellement des informations sur plusieurs équipes. Cet outil aidera les responsables de la conformité, de la sécurité et de la protection de la vie privée et les évaluateurs de risques à effectuer une pré-évaluation proactive et à se préparer aux vérifications.
Attention, les recommandations de Compliance Manager Preview ne doivent pas être interprétées comme une garantie de conformité.
Voici le lien pour essayer Compliance Manager Preview: https://lnkd.in/eKWetXU
Parchafik
Associations, TPE, PME le RGPD ou GDPR c’est dans moins de 5 mois !
Le GDPR est l’acronyme de: « General Data Protection Regulation » ou en français Règlement Général sur la Protection des Données (RGPD)
C’est quoi?
- Il s’agit tout simplement de la nouvelle loi Européenne qui régie la protection des données personnelles des résidents Européen
Le timing ?
- Ce nouveau texte de référence est officiellement une loi depuis avril 2016 mais l’application de celle-ci sera le 25 mai 2018, autant dire demain !
Qui est concerné?
- TOUTES les organisations quel que soit leurs domaines ou leurs tailles sont concernées dès lors qu’elles manipulent des données personnelles de citoyens européens, donc cela concerne aussi les entreprises étrangères…
Quelles sont les risques?
- En cas de non-conformité ou de non-respect, l’organisation incriminée devra payer une amende égale à 4% du chiffre d’affaires annuel MONDIAL ou bien 20 Millions d’euros (somme maximale). Elle pourra être poursuivie en justice si une personne a subi des dommages matériel ou morale du fait de la non protection des données,
Les Grandes lignes du GDPR
- Transparence : Les organisations devront être transparentes dans la gestion et l’utilisation des données personnelles. Elles doivent être claires sur la façon dont elles traitent et utilisent les données.
- Limitation de traitement : Les données personnelles devront être traitées à des fins précises et légitimes. Il sera par ailleurs interdit de les réutiliser ou de les divulguer pour des applications autres que celles prévues initialement lors de leurs collectes.
- Volume et durée restreinte : Les organisations devront s’assurer que seules les données nécessaires seront conservées et uniquement pendant la durée nécessaire à l’objectif initial.
- Assurer l’exactitude des données personnelles : Les organisations devront permettre la correction et la suppression des données collectées. Elles devront également s’assurer que les informations détenues sont correctes.
- Assurer la sécurité, l’intégrité et la confidentialité : Des mesures devront être prises par les organisations pour sécuriser les données stockées.
- Obligation de notification : Les organisations auront l’obligation de reporter toutes violations de données personnelles sous 72h.
La Cnil vous dit comment se préparer en 6 étapes au GDPR
- Désigner un pilote: Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne
- Cartographier vos traitements de données personnelles: recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
- Prioriser les actions à mener: identifier les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
- Gérer les risques: Après avoir identifié des données avec un risque élevé, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données
- Organiser les processus internes: mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment
- Documenter la conformité: vous devez constituer et regrouper la documentation nécessaire pour prouver cette conformité.
Un lien à suivre pour plus de détails ici