Mise en conformité RGPD : ce que les PME doivent faire

Entré en vigueur depuis le 25 mai 2018, le Règlement Général sur la Protection des Données a déjà commencé à bouleverser l’organisation globale des entreprises, quelle qu’en soit leur taille. Apparues complexes, ces nouvelles règles finissent par cacher une démarche qui s’avère finalement simple en respectant quelques étapes. Denis JACOPINI, notre Expert RGPD nous en dit plus.

LeNetExpert : Où en sont aujourd’hui la plupart des PME vis à vis de la démarche de mise en conformité RGPD ? 

Denis JACOPINI : Avant de commencer l’animation d’une formation sur le RGPD, je demande toujours ce qu’on retenu les personnes ayant déjà assisté à des petits déjeuners, des déjeuners, dîners thématiques ou des Webinars sur ce thème.

Systématiquement elles me confient qu’elle n’ont retenu des informations sur leurs obligations, sur la complexité de la démarche mais pas sur la démarche concrète à réaliser.

Ce constat m’a permis de me conforter dans l’idée qu’il était important de construire le contenu de nos formations pour que les dirigeants de PME ou leurs futurs DPO (Data Protection Officer = en français Délégué à la Protection des Données) repartent à la fois en ayant compris l’intérêt de la démarche d’un tel règlement (et ils ont un intérêt direct) mais surtout avec de nombreux outils et des méthodes leur permettant une démarche de mise en conformité RGPD en toute autonomie.

LNE : Quelle sont les démarches que les PME devraient réaliser selon vous ?

Denis JACOPINI : Le 25 mai 2018, le règlement européen est entré en application. De nombreuses formalités auprès de la CNIL ont disparu mais en contrepartie, la responsabilité des organismes a été renforcée. Ils doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Ces démarches doivent être réalisées avec méthode et étapes.

La CNIL a mis à disposition de tout les organismes concernés par ces démarches un guide : RGPD : se préparer en 6 étapes.

Dans ce guide ont peut y trouver 6 étapes indispensables pour initier la démarche de mise en conformité :

1/ DÉSIGNER UN PILOTE
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

2/ CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

3/ PRIORISER LES ACTIONS À MENER
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. 

4/ GÉRER LES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).

5/ ORGANISER LES PROCESSUS INTERNES
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire). 

6/ DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

LNE : Combien peut coûter à une PME ce type de démarche ?

Denis JACOPINI : Les établissements professionnels, associations et administrations doivent savoir qu’il n’y a aucune obligation de payer quoi que ce soit ou de faire appel à un professionnel. En effet, les organismes souhaitant entamer ou poursuivre leur démarche de mise en conformité peuvent réaliser eux même ces démarches. Le coût sera alors seulement lié au temps passé à réaliser cette démarche qui peut ne pas être négligeable selon la taille ou l’activité de votre structure. Cette démarche peut donc être gratuite pour un établissement qui aura choisi de se former de manière autodidacte ou ou remboursée en totalité si la formation que vous suivez est entièrement prise en charge par un organisme collecteur de la taxe formation.

En fait, le vrai prix dépend du contexte de départ, du volume d’éléments à améliorer et du temps consacré à la démarche de mise en conformité RGPD.

LNE : Quel type d’organisme accompagnez-vous dans leur démarche de mise en conformité ?

Denis JACOPINI : Tout organisme étant concerné, j’accompagne toute taille et tout type d’organisme. En fonction de la taille ou du secteur d’activité la démarche sera différente. Individuelle, de groupe, plus axée sur la formation, plus orientée sur l’accompagnement ou parfois encore, exclusivement basée sur la réalisation de la démarche de mise en conformité, nous nous adaptons à chaque organisme.

LNE : Comment bénéficier d’une démarche de mise en conformité gratuite ou pour avoir une formation prise en charge ?

La plupart des dirigeants savent aujourd’hui qu’ils peuvent demander la prise en charge de formations auprès de l’organisme auprès duquel ils versent leur taxe pour la formation professionnelle. Il vous suffit ensuite de nous formuler votre demande. Après quelques échanges, nous pouvons vous envoyer rapidement une proposition qu’il vous suffira de communiquer à votre organisme. Au terme de cette démarche administrative, un accompagnement personnalisé vous sera proposé afin de vous apprendre l’essentiel de la démarche et l’usage d’outils gratuits à mettre en oeuvre.

Pouvez-vous refuser la carte sans contact délivrée par votre banque ?

En France, plus de 33 millions de cartes de paiement ont des fonctionnalités sans contact, ce qui représente plus de 50 % des cartes en circulation, rappelle la Cnil (Commission nationale de l’informatique des libertés). Grâce à ce système, il est possible d’utiliser sa carte bancaire sans avoir à taper son code secret lorsque les achats sont inférieurs à 20 euros. Depuis la recommandation de la Cnil de juillet 2013, les porteurs de ce type de carte doivent être clairement informés de la fonctionnalité sans contact et doivent pouvoir la refuser.

Comment exercer son droit d’opposition ?

Dans un premier temps, le client doit se tourner vers sa banque pour lui demander la désactivation ou la réédition gratuite d’une nouvelle carte dépourvue de la fonctionnalité paiement sans contact.

Les banques sont libres de choisir les moyens à engager pour respecter ce droit d’opposition. Certaines proposent de distribuer une nouvelle carte identique aux anciens modèles, d’autres incitent à une désactivation via le site internet de la banque.

Si la banque ne respecte pas son devoir d’information ou si elle refuse de désactiver le paiement sans contact, le client peut alors s’adresser au service des plaintes de la Cnil, sur le site internet de la Commision, en appelant le 01 53 73 22 22 (du lundi au vendredi de 10h à 12h et de 14h à 16h) ou en écrivant un courrier à la Cnil – Service des plaintes – 8, rue Vivienne – CS 30223- 75083 Paris cedex 02

Comment se débarrasser d’un cryptovirus qui revient sans arrêt ?

Que ça soit à la suite des nombreux défaçages de sites Internet (piratage du site Internet et changement de la page d’accueil) dont ont été victimes des dizaines de milliers de sites Internet en 2015 ou à la suite de vagues de virus cryptant la quasi totalité des données de votre ordinateur et vous demandant de payer une rançon pour continuer à les utiliser, nous avons été surpris par les mesures prises par le ou les informaticiens.

En effet, à la suite d’échanges avec ces pompiers informatiques afin de vérifier les mesures prises à la suite de l’attaque informatique, nous avons eu, et leurs clients également, la désagréable surprise que leurs actions se restreignaient à nettoyer le ou les postes infectés et restaurer la dernière sauvegarde. En d’autres termes, excepté pour ceux profitant de cette situation pour constater que leurs systèmes de sauvegardes parfois lourdement facturés ne fonctionnait pas ou ne sauvegardait pas tout, la quasi totalité des techniciens contactés nous ont confirmé que le grand changement dans leurs procédure à la suite d’une telle attaque de pirate, consistait à renforcer la vérification des procédures de sauvegarde !!!

Vous l’aurez compris, la conséquence évidente que si l’on ne soigne pas la cause du mal et qu’on ne fait qu’atténuer les effets, le mal reviendra.

Sauf à que ça vous plaise de passer votre temps de restaurer des données à chaque nouvelle attaque, il est peut-être temps de changer quelque chose.

En cas d’attaque par ransomware (cryptovirus), nous vous recommandons de vous former ou d’utiliser un spécialiste pour suivre les étapes suivantes (l’ordre peut être adapté en fonction de vos priorités) :

1. Payer ? nous ne recommandons pas ça car non seulement vous favorisez le développement de ces actes en récompensant les cybercriminels, mais également rien ne vous assure que vous pourrez récupérer l’utilisation de vos fichiers et enfin, même si vous payez et que vous en avez pour votre argent, il est fort probable que le même pirate ou un autre vous piège à nouveau.
2. Constatez et recueillez les preuves ;
3. Conservez les preuves soit pour une analyse ultérieure en vue de la recherche d’un antidote, soit pour une analyse approfondie de la technique utilisée par le pirate informatique, soit pour pouvoir porter plainte (si vous avez une assurance ou pour vous protéger si votre système informatique victime contamine d’autres systèmes informatique , ce qui vous rendraient responsable) ;
4. Éventuellement, portez plainte ;
5. Nettoyez votre système informatique de toutes traces du virus ;
6. Pour éviter qu’elle se reproduise, analysez avec précision l’attaque informatique afin de trouver la faille utilisée pour pénétrer votre système informatique en vue de sa réparation;
7. Restaurez les données pour pouvoir remettre en route son système informatique le plus rapidement possible ;
8. Recherchez la faille ;
9. Corrigez la faille ;
10. Recherchez d’autres failles ;
11. Par prévention, corrigez d’autres failles et augmentez vos mesures de sécurité ;
12. Contactez éventuellement les autorités compétentes (Police, Gendarmerie, OCLCTIC, BETFI, votre CERT, le CERTA, PHAROS…) ;

Denis JACOPINI, Expert Informatique assermenté, est spécialisé en cybercriminalité et en protection des données personnelles pourra vous accompagner pour chacune de ces étapes.

Contactez-nous

Vous êtes une société d’informatique démunie devant une situation spécifique, il n’y a aucun inconvénient à vous faire aider par un spécialiste en cybercriminalité. Nous pouvons également vous accompagner.

Remarque :

Certaines de ces étapes peuvent être longues et nécessiteront un accès à distance de votre installation.

Vidéoprotection / vidéosurveillance : une caméra qui filme la voie publique peut-elle filmer l’intérieur des habitations ?

• De visualiser l’intérieur des habitations.
• De filmer de façon spécifique leurs entrées (par ex. les fenêtres d’un immeuble).

Des procédés de masquages irréversibles de ces zones doivent être utilisés afin de garantir la protection de la vie privée.

Contactez-nous

#Conseils clé pour #se protéger contre la #cybercriminalité

La cybercriminalité est souvent médiatisée lorsque d’énormes failles de sécurité sont révélées et que les dommages sont significatifs pour les entreprises touchées. L’attaque massive organisée par des pirates informatiques russes il y a quelques semaines à une échelle mondiale en est un très bel et marquant exemple, avec plus de 1,2 milliard de mots de passe volés.

Mais les hackers ne se limitent pas aux attaques massives, et des petites brèches de sécurité d’apparence anodines peuvent pourtant s’avérer avoir de lourdes conséquences, tant pour les grandes entreprises que pour les plus petites organisations possédant des données sensibles ou à forte valeur ajoutée.

Ne perdez pas votre temps à anticiper, sachez surtout détecter les failles et limiter les dégâts
La meilleure chose qu’un directeur informatique ou un responsable de la sécurité puisse faire pour protéger son entreprise est de comprendre et d’accepter l’impossibilité de maintenir les attaquants à l’écart. Tout le monde est tôt ou tard victime d’une faille de sécurité. Le plus important est de savoir dans quel délai vous la détecterez et dans quelle mesure vous pourrez limiter les dommages. Il convient de mettre l’accent sur la réduction du risque dans les domaines clés et la surveillance des événements au niveau du pare-feu pour détecter le plus rapidement possible l’intrusion d’un attaquant et la tentative de vol de données. Toute autre action ne reviendra qu’à reproduire des stratégies qui ont déjà montré leurs limites dans le passé, pour un coût encore plus élevé.

Axez votre stratégie de sécurité sur l’identité et les données, et non plus l’infrastructure
Le mode de pensée centré sur le réseau et les appareils est de plus en plus délaissé en faveur d’une sécurité axée sur l’identité et les données.

Désormais, tenter de protéger l’infrastructure de l’entreprise n’apparaît plus comme une solution gagnante. Avec l’usage croissant de l’informatique mobile et du Cloud computing, cette tâche s’avère souvent trop complexe et n’est plus entièrement maîtrisée par le personnel informatique et de sécurité. En revanche, le personnel chargé de la sécurité réfléchit de plus en plus à la protection des données transférées d’un endroit à un autre, y compris dans le cloud, et à l’acquisition d’une meilleure connaissance de l’identité des individus qui ont accès à ces données. Néanmoins, suis-je certain de savoir qui accède actuellement à notre base de données de patients ? Est-il normal que ce salarié ouvre ce fichier de données clients ? Ces décisions sont de plus en plus complétées par l’introduction d’un contexte du type : dois-je permettre à ce salarié d’accéder à ces données sensibles alors qu’il est en vacances dans le Sud et qu’il se connecte depuis sa tablette dans un cybercafé ? Il s’agit là d’une façon plus intelligente (et efficace) d’appréhender les risques du comportement surveillé, en répondant aux problèmes de sécurité fondamentaux liés aux utilisateurs privilégiés, aux attaques internes et aux menaces persistantes avancées.

Ne misez pas tout sur la technologie, sensibilisez vos collaborateurs car ils sont les véhicules de vos données !
Il est toujours possible d’améliorer l’éducation – bien que je sois convaincu qu’il faille en changer le ton pour passer du « ne faites pas ceci » au « comme vous le ferez de toute façon, voici comment procéder pour éviter de prendre des risques ». Le pouvoir dans le monde de l’informatique professionnelle a changé de mains : il n’est plus dévolu au service IT autoritaire et centralisé, avec le personnel qui lui est associé, mais relève désormais des dirigeants de l’entreprise et des responsables métiers. Aujourd’hui plus que jamais, l’utilisateur de l’entreprise décide lui-même de la technologie à employer et de la façon de procéder. Dans ce contexte, l’éducation doit être recentrée sur les conseils et le choix de solutions sûres pour cesser de s’apparenter à une liste d’actions à éviter, qui sera de toute façon rarement respectée.

Comment détecter les arnaques sur Internet ? Denis JACOPINI vous en parle sur Europe 1 à l’occasion de la présentation de son livre « CYBERARNAQUES : S’informer pour mieux se protéger »

« Puisse cet ouvrage avoir de nombreux lecteurs ! Il ne devrait pas plaire aux arnaqueurs, car il est un réquisitoire contre leur perfidie et, sans aucun doute, une entrave à leur chiffre d’affaire. »
Général d’armée (2S) Watin- Augouard

[youtube https://www.youtube.com/watch?v=XgH6P7S4Lv0?feature=oembed&w=610&h=343]

Commandez CYBERARNAQUES

Plutôt qu’un inventaire, Denis Jacopini, avec la collaboration de
Marie Nocenti, a choisi de vous faire partager le quotidien de
victimes d’Internet en se fondant sur des faits vécus, présentés
sous forme de saynètes qui vous feront vivre ces arnaques en
temps réel. Il donne ensuite de précieux conseils permettant de
s’en prémunir. Si vous êtes confronté un jour à des circonstances
similaires, vous aurez le réflexe de vous en protéger et en éviterez
les conséquences parfois dramatiques… et coûteuses.
Un livre indispensable pour « surfer » en toute tranquillité !

Denis Jacopini est expert judiciaire en informatique, diplômé en
cybercriminalité et en droit, sécurité de l’information et informatique
légale à l’université de droit et science politique de Montpellier.
Témoin depuis plus de vingt ans d’attaques de sites Internet, de
piratages d’ordinateurs, de dépouillements de comptes bancaires
et d’autres arnaques toujours plus soigneusement élaborées,
il apprend aux professionnels à se protéger des pirates informatiques.
Marie Nocenti est romancière.

Comment créer sa charte Informatique ? (ANSSI)

1. L’OBJECTIF

La charte d’utilisation des moyens informatiques a pour finalité de contribuer à la préservation de la sécurité du système d’information de l’entité et fait de l’utilisateur un acteur essentiel à la réalisation de cet objectif…[lire la suite]

2. DES DÉFINITIONS CLAIRES ET PRÉCISES

Définir les termes clés du document permet de limiter leur interprétation juridique (administrateur, messagerie électronique, moyens d’authentification, système d’information, utilisateur, etc.)…[lire la suite]

3. L’OBJET ET SA PORTÉE

La charte doit rappeler ce sur quoi elle porte. Notamment, elle doit exprimer de manière explicite qu’elle a pour objet de préciser les droits et devoirs de l’utilisateur…[lire la suite]

4. LES USAGES

De nombreuses questions sont à envisager lorsque l’entité souhaite fixer les règles d’usage de son système d’information. L’entité met-elle à disposition une messagerie professionnelle ?…[lire la suite]

5. DÉFINIR LES DEVOIRS DE L’UTILISATEUR

Outre les obligations générales qu’il est bon de rappeler, les devoirs de l’utilisateur découlent directement des usages autorisés définis en amont…[lire la suite]

6. LES MESURES DE CONTRÔLE

Les mesures de contrôle que l’entité peut mettre en place peuvent être étendues, pourvu qu’elles aient fait l’objet d’une information préalable des utilisateurs (via la charte) et qu’elles soient conformes au droit en vigueur…[lire la suite]

7. LES SANCTIONS

La charte informatique étant un document de portée juridique, elle permettra de fonder les sanctions à l’encontre d’un utilisateur qui ne l’aurait pas respectée. Il est impératif de prévoir une échelle des sanctions disciplinaires…[lire la suite]

8. S’ASSURER DE L’OPPOSABILITÉ DE LA CHARTE

L’opposabilité de la charte nécessite également son acceptation par les utilisateurs (signature de la charte ou annexe au contrat de travail)…[lire la suite]
[Consultez le guide complet de l’ANSSI]

Mise en conformité RGPD. Attention aux arnaques…

Vous pensez avoir reçu une arnaque à la mise en conformité RGPD ?
Signalez ou demandez notre avis sur signalements@lenetexpert.fr

LNE : Combien coûte une mise en conformité pour une entreprise de petite taille ?

Denis JACOPINI : Il me paraît déjà important de préciser que si quelqu’un vous a dit qu’il est conforme RGPD, il y a de très forte chance que soit il n’ait rien compris à la démarche RGPD, soit que ce soit un menteur. En effet, un organisme n’est pas conforme RGPD ou non conforme RGPD. J’ajouterai même que personne n’est conforme RGPD. Par contre, on doit parler de  démarche de mise en conformité. Ainsi, soit un organisme a initié une démarche de mise en conformité, soit il n’a pas initié de démarche de mise en conformité.

Ensuite, les établissements professionnels, associations et administrations doivent savoir qu’il n’y a aucune obligation de payer quoi que ce soit ou de faire appel à un professionnel. En effet, les organismes souhaitant entamer ou poursuivre leur démarche de mise en conformité peuvent réaliser eux même ces démarches. Le coût sera alors seulement lié au temps passé à réaliser cette démarche qui peut ne pas être négligeable selon la taille ou l’activité de votre structure. Cette démarche peut donc être gratuite pour un établissement qui aura choisi de se former de manière autodidacte ou peut être remboursée en totalité si la formation que vous suivez est entièrement prise en charge par un organisme collecteur de la taxe formation.

En fait, le vrai prix dépend du contexte de départ, du volume d’éléments à améliorer et du temps consacré à la démarche de mise en conformité RGPD.

Quel type d’organisme accompagnez-vous dans leur démarche de mise en conformité ?

Tout organisme étant concerné, j’accompagne toute taille et tout type d’organisme. En fonction de la taille ou du secteur d’activité la démarche sera différente. Individuelle, de groupe, plus axée sur la formation, plus orientée sur l’accompagnement ou parfois encore, exclusivement basée sur la réalisation de la démarche de mise en conformité, nous nous adaptons à chaque organisme.

Comment bénéficier d’une démarche de mise en conformité gratuite ou pour avoir une formation prise en charge ?

La plupart des dirigeants savent aujourd’hui qu’ils peuvent demander la prise en charge de formations par l’organisme auprès duquel ils cotisent pour la taxe formation. Il suffit ensuite de nous formuler votre demande  pour que nous vous envoyons une proposition qu’il vous suffira de communiquer à votre organisme. Au terme de cette démarche administrative, un accompagnement personnalisé vous sera proposé afin de vous apprendre l’essentiel de la démarche et l’usage d’outils gratuits à mettre en oeuvre.

Récemment, la CNIL vient de mettre en place une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD ». Elle est proposée aux professionnels pour leur permettre de découvrir ou mieux appréhender le RGPD. Il vous permet ainsi d’initier une mise en conformité dans votre organisme et de vous aider à la sensibilisation des opérationnels.

Une attestation de suivi sera délivrée dans le Mooc à tout participant ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module…[lire la suite]

Est-ce que déclarer à la CNIL est obligatoire ?

Sont dispensés de cette formalité :

certains fichiers exonérés par la loi ou la CNIL : voir liste des exonérations et des dispenses ;

certains fichiers mis en oeuvre par un organisme qui a désigné un Correspondant Informatique et Libertés (CIL).

Dans les autres cas, la déclaration auprès de la CNIL est obligatoire et s’effectue sur le site internet de la Commission. L’accomplissement de cette formalité est gratuite. 

A savoir : L’absence de formalité auprès de la CNIL, lorsqu’elle est obligatoire, peut constituer une infraction pénale.
Source : http://www.aide.cnil.fr/selfcnil/site/template.do?name=D%C3%A9clarer%C2%A0%C3%A0+la+CNIL%2C+c%27est+obligatoire+%3F&id=335

#Télémédecine : l’#échange de données de santé est-il autorisé ?

Le patient doit avoir été informé au préalable de l’utilisation de la télémédecine et des actes ou examens médicaux qui seront réalisés de cette façon.

La réponse à la question : L’échange de données de santé est-il autorisé ? est donc Oui.