Sécurité des sites web : Analyse des sanctions de la CNIL à fin juin 2018

5, Juil 2018 | Protection des Données

L’analyse des sanctions prononcées par la CNIL entre juillet 2017 et fin juin 2018 fait apparaître une prépondérance de décisions sanctionnant l’absence de sécurisation des données ou documents mis en ligne par des clients ou des prospects via les sites internet des entreprises considérées (6 sanctions sur 9).

Si vous stockez des données en ligne, il est donc essentiel de vérifier la fiabilité des sécurités mises en oeuvre pour éviter des négligences qui vous exposeraient à des sanctions qui peuvent être importantes, en terme financier mais aussi en terme d’image.

Afin de vous sensibiliser sur ce sujet, la CNIL met à votre disposition sur son site, un article qui fait le point sur les principaux risques concernés: Sécurité des sites web : les 5 problèmes les plus souvent constatés

Intermédiaires en assurance : Etes-vous prêts pour l’entrée en vigueur du RGPD ?

Intermédiaires en assurance : Etes-vous prêts pour l’entrée en vigueur du RGPD ?

22, Mai 2018 | Protection des Données

A quelques jours de l’entrée en vigueur du Règlement Général de Protection des Données, vous trouverez ci-dessous une “check-list” de 12 actions à mener pour vous mettre en conformité, quelque soit la taille de votre cabinet. La CNIL met à votre disposition en ligne sur son site internet cnil.fr de nombreux modèles qui vous aideront pour réaliser cette adaptation.

☐ Prendre connaissance des nouveaux droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) et obligations nés de cette nouvelle réglementation (Cnil : Comprendre le Règlement Européen).

☐ Désigner une personne  (de préférence à l’aise avec les “problématiques” informatiques) en charge de ce chantier au sein du cabinet.

☐ Cartographier vos traitements de données personnelles internes  (les fichiers de vos clients/prospects, mais aussi ceux qui concernent  vos salariés) et les consigner dans votre registre des traitements (voir un exemple de registre proposé par la CNIL).

☐ Etablir la liste de vos prestataires et/ou partenaires (co-courtage) utilisant des données personnelles (de vos clients, prospects, salariés, …)  et vérifier leur engagement RGPD ( CNIL : un exemple de clause à régulariser avec vos sous-traitants).

☐ Nommer un Délégué à la Protection des Données (interne ou externalisé). Pour en savoir plus sur cette mission, vous pouvez consulter cet article de la CNIL.

☐ Si vous avez un logiciel de “workflow”, de gestion de vos données client, qui stocke ces données “dans le cloud”, vérifier que l’éditeur respecte les exigences du RGPD.

☐ Modifier les clauses “informatiques et libertés” de votre fiche d’information, de vos documents contractuels, … en incluant les mentions RGPD requises (CNIL : Comment informer les personnes et assurer la transparence ?).

☐ Vérifier et mettre à jour la politique de confidentialité de votre site internet.

☐ Contrôler votre politique d’archivage et de conservation des données personnelles.

☐ Former vos collaborateurs à la réglementation RGPD et à l’utilisation des données personnelles.

☐ Prévoir  la procédure à suivre en cas de fuite de données personnelles (cf.  formulaire de notification de violations de données personnelles de la CNIL.

☐ Prévoir une note interne présentant les principes du RGPD (les règles à appliquer à la collecte, la conservation, la sécurisation et la diffusion des données personnelles), et éventuellement, modifier votre règlement intérieur et/ou vos contrats de travail pour y intégrer les obligations de vos collaborateurs sur l’accès et le traitement des données personnelles.

 

 

 

 

CNIL – RGPD mesures d’accompagnement et politique de contrôle

CNIL – RGPD mesures d’accompagnement et politique de contrôle

25, Fév 2018 | Protection des Données

Dans la continuité de son aide à la mise en oeuvre du RGPD (Règlement Général de Protection des Données), la CNIL a publié, le 19 février dernier,  un nouvel article sur son site :

Elle y rappelle les outils d’ores et déjà mis à disposition, et ceux à venir, pour vous accompagner dans la mise en application du RGPD.

A cette occasion, elle apporte aussi des précisions sur la manière dont elle contrôlera le respect du RGPD à compter du 25 mai. On y apprend que la CNIL distinguera :

  • Les principes fondamentaux de la protection des données, d’ores et déjà en vigueur, et pour lesquels  le contrôle demeurera   identique à celui aujourd’hui existant.
  • Les nouvelles obligations ou les nouveaux droits issus du RGPD (droit à la portabilité, analyses d’impact, etc.) pour lesquels dans un premier temps, les contrôles n’auront pas vocation à aboutir à des sanctions en présence d’organisme de bonne foi engagés dans une démarche de mise en conformité.

Vous pouvez accéder à l’article correspondant de la CNIL sur son site ou en cliquant ici.

OCTOBRE 2017 – MOIS EUROPÉEN DE LA CYBERSÉCURITÉ

OCTOBRE 2017 – MOIS EUROPÉEN DE LA CYBERSÉCURITÉ

9, Oct 2017 | Protection des Données

La protection des données est un enjeu important pour toutes les entreprises. En 2018, cet enjeu sera encore renforcé par l’entrée en vigueur prévue ou prévisible de nombreux nouveaux textes :

Dans tous les cas, les aspects relatifs à la cybersécurité sont déterminants pour garantir cette protection des données.

Pour vous informer sur ce thème, vous pouvez  participer aux événements prévus en octobre 2017 pour la 5ème édition du mois européen de la Cybersécurité (avec le concours notamment de l’Agence Européenne chargée de la sécurité des réseaux et de l’information ENISA et, de l’Agence Nationale de la Sécurité des Systèmes d’Information ANSSI).

Durant cette période, de nombreux événements (conférences, vidéos, campagnes de communication …) seront organisés par des acteurs publics et associatifs afin de sensibiliser les professionnels, les particuliers et les étudiants à la cybersécurité.

Ces événements abordent les 4 principaux thèmes suivants (cliquez sur les liens ci-dessous pour accéder au calendrier des événements correspondants):

 

D’autre part, le 17 octobre prochain, aura lieu le lancement national de la Plateforme “Cybermalveillance.gouv.fr”, dont les buts sont ; la sensibilisation ; la prévention et, le soutien en matière de sécurité du numérique auprès des entreprises et des particuliers, en proposant des outils de diagnostic, des publications, et la mise en relation avec les spécialistes et organismes compétents.

Bonne sensibilisation !

 

Cyber-sécurité, l’ACPR lance une enquête auprès des organismes d’assurance et de réassurance

Cyber-sécurité, l’ACPR lance une enquête auprès des organismes d’assurance et de réassurance

30, Sep 2017 | Protection des Données

cyber-sécurité

 

 

 

 

 

Quelques mois avant la mise en oeuvre du nouveau règlement général européen sur la protection des données personnelles (RGPD) , l’ACPR lance une enquête sur la cyber-sécurité auprès des organismes d’assurance et de réassurance.

Peut-être est-ce un hasard du calendrier ?

Dans tous les cas, ce qui est sûr, c’est la réalité et la permanence des risques liés aux cyberattaques qui peuvent notamment menacer directement la protection des données (et avoirs) de la clientèle.

Des solutions existent pour se protéger, mais elles exigent ; une prise de conscience de l’ensemble des acteurs, une volonté de former le personnel sur ce sujet,  et parfois, de lourds investissements en solutions informatiques.

Déjà en 2016, une enquête avait été menée par l’ACPR sur les systèmes d’information (SI) et la qualité des données des organismes d’assurance et des banques (cf. la conférence de l’ACPR du 16 juin 2016). L’ACPR indiquait alors qu’en matière de cyber-sécurité :

  • L’état de la menace était à un niveau préoccupant et que ce risque pouvait avoir des conséquences majeures (financières, réputation, …).
  • Les enjeux de la cyber-sécurité requéraient :
    • Une mobilisation des instances dirigeantes et un renforcement du positionnement et l’indépendance des responsables de la sécurité
    • Un maintien, voire une hausse, des budgets de sécurité.
    • Une approche globale, ou la sécurité technique des environnements sensibles devait être prioritaire.
  • Une couverture assurantielle pouvait compléter ces mesures, mais, sans jamais s’y substituer.

Voir le communiqué de l’ACPR : https://acpr.banque-france.fr/actualites/detail/article/lacpr-lance-une-enquete-portant-sur-la-cyber-securite-aupres-des-organismes-dassurance-et-de-reassurance.html