Cyber-sécurité, l’ACPR lance une enquête auprès des organismes d’assurance et de réassurance

Cyber-sécurité, l’ACPR lance une enquête auprès des organismes d’assurance et de réassurance

cyber-sécurité

 

 

 

 

 

Quelques mois avant la mise en oeuvre du nouveau règlement général européen sur la protection des données personnelles (RGPD) , l’ACPR lance une enquête sur la cyber-sécurité auprès des organismes d’assurance et de réassurance.

Peut-être est-ce un hasard du calendrier ?

Dans tous les cas, ce qui est sûr, c’est la réalité et la permanence des risques liés aux cyberattaques qui peuvent notamment menacer directement la protection des données (et avoirs) de la clientèle.

Des solutions existent pour se protéger, mais elles exigent ; une prise de conscience de l’ensemble des acteurs, une volonté de former le personnel sur ce sujet,  et parfois, de lourds investissements en solutions informatiques.

Déjà en 2016, une enquête avait été menée par l’ACPR sur les systèmes d’information (SI) et la qualité des données des organismes d’assurance et des banques (cf. la conférence de l’ACPR du 16 juin 2016). L’ACPR indiquait alors qu’en matière de cyber-sécurité :

  • L’état de la menace était à un niveau préoccupant et que ce risque pouvait avoir des conséquences majeures (financières, réputation, …).
  • Les enjeux de la cyber-sécurité requéraient :
    • Une mobilisation des instances dirigeantes et un renforcement du positionnement et l’indépendance des responsables de la sécurité
    • Un maintien, voire une hausse, des budgets de sécurité.
    • Une approche globale, ou la sécurité technique des environnements sensibles devait être prioritaire.
  • Une couverture assurantielle pouvait compléter ces mesures, mais, sans jamais s’y substituer.

Voir le communiqué de l’ACPR : https://acpr.banque-france.fr/actualites/detail/article/lacpr-lance-une-enquete-portant-sur-la-cyber-securite-aupres-des-organismes-dassurance-et-de-reassurance.html

Nouveaux référentiels de délivrance des Labels CNIL en vue de la mise en oeuvre de la RGPD

Nouveaux référentiels de délivrance des Labels CNIL en vue de la mise en oeuvre de la RGPD


Le 20 septembre dernier, il a été publié au Journal Officiel deux délibérations de la CNIL du 13 juillet 2017 qui modifient les référentiels pour la délivrance de labels en matière de  :

  1. Procédures de gouvernance tendant à assurer la protection des données.
  2. Formation relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

Ces modifications sont apportées notamment afin d’adapter ces référentiels à l’entrée en application du règlement européen (2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ce données, communément dénommé sous l’acronyme “RGPD”).

I – Le label en matière de procédures de gouvernance “informatique & libertés”

Les labels actuels sont valables jusqu’au 25 mai 2018. Ensuite, il faudra obtenir un nouveau label dont la validité sera de trois ans.

Pour  l’obtention de ces nouveaux labels, il faudra respecter les conditions suivantes :

  1. Avoir un délégué à la protection des données
  2. Présenter sa politique en matière de protection des données, au-regard des principes énoncés par le “RGPD”, notamment sur :
    • La mise en œuvre de traitement licite ;
    • Le respect des droits des personnes ;
    • Les destinataires des données collectées ;
    • Les mesures de sécurité des données.
  3. Porter à la connaissance des personnes concernées sa politique en la matière, et notamment, les informations ci-dessus dans un format concis, transparent, compréhensible et facilement accessible.
  4. Garantir que le délégué à la protection des données contrôle cette politique, et, quelle sera revue et actualisée si nécessaire “a minima” tous les trois ans.

Il est précisé ensuite dans le référentiel concerné les exigences relatives :

  • Au délégué à la protection des données
  • A l’analyse de la conformité
  • Au contrôle de cette conformité dans le temps
  • A l’évaluation de la gestion des réclamations et incidents

Vous pouvez consulter la délibération concernée ici.

II – Les labels en matière de formation relative à la protection des personnes à l’égard du traitement des données à caractère personnel

L’entrée en application du “RGPD”,  le 25 mai 2018, oblige à la modification du référentiel de labellisation, afin de le mettre en conformité avec cette nouvelle réglementation.

Les labels actuels en matière de formation demeurent valides jusqu’à la date d’entrée en vigueur du “RGPD”. Les organismes qui souhaitent se mettre en conformité avec ce nouveau référentiel doivent présenter une nouvelle demande de label. Ces nouveaux labels seront délivrés  pour une durée de trois ans.

Ce référentiel précise, notamment,  les notions qui doivent être abordées dans la formation.

Consultez la délibération concernée ici.

 

NOTIFICATIONS D’INCIDENTS DE SECURITE AUX AUTORITES DE REGULATION

NOTIFICATIONS D’INCIDENTS DE SECURITE AUX AUTORITES DE REGULATION

NOTIFICATIONS D’INCIDENTS DE SECURITE AUX AUTORITES DE REGULATION

En mai 2018, lors de l’entrée en vigueur du RGDP (Règlement général sur la protection des données) , tous les organismes seront soumis à une obligation de déclaration à la CNIL des violations de données personnelles dont ils auront été victimes.

La CNIL vient de publier sur son site un article présentant ; le processus correspondant , et sommairement le nouveau téléservice correspondant qui sera mis en oeuvre pour effectuer les notifications correspondantes.

CNIL : Notifications d’incidents de sécurité aux autorités de régulation : comment s’organiser et à qui s’adresser ?