background preloader

SECURITE DES DONNEES

SECURITE DES DONNEES
Les entreprises françaises négligent la sécurité de leurs données Etudes - Rédigé le mercredi 11 juillet 2012 - Frédéric Mazué L’étude montre que les sociétés françaises sont très imprudentes avec leurs informations sensibles, et ont encore du retard par rapport à leurs homologues européennes. Les résultats, établis sur la France, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne, et le Royaume-Uni, montrent que de nombreuses entreprises ne sont absolument pas préparées à affronter et à gérer les risques liés à la gestion de leurs informations En effet le manque de stratégies expose les sociétés françaises à des incidents tel que la perte d’informations sensibles. 88,9% des sociétés françaises qui ont eût un incident ne savent pas par quel genre d’incidents elles ont été touché. En se basant sur les conclusions de l’Indice des Risques liés aux Informations, Iron Mountain a identifié un ensemble d’étapes et d’actions permettant d’aider les entreprises à améliorer la sûreté de leurs données : Related:  Bonnes pratiques

Conformité en matières de données personnelles ? Cette législation oblige les entreprises à informer les autorités de supervision compétentes de toute violation, et à en informer toutes les personnes pouvant en être gravement affectées, le tout en moins de 24 heures. A l’avenir, les organisations qui ne renseigneront pas les autorités d’une violation de données en temps voulu ou selon la procédure prévue, recevront des amendes qui iront jusqu’à 2% de leurs revenus annuels globaux. Malheureusement, il sera extrêmement difficile pour les entreprises d’identifier correctement les systèmes et les données clients ayant été affectés par une violation dans un délai de 24 heures. Ce délai très court pourrait facilement mener à un problème de divulgation mensongère, un problème qui est déjà source d’inquiétude dans certains pays comme les Etats-Unis, qui disposent de lois sur la notification de violations depuis quelques années.

traitement des données Il n'est pas question d'envisager la collecte (le traitement) de données personnelles sans respecter un minimum de contraintes, issues de la directive de 1995 transposée de longue date dans les droits nationaux. Nous faisons le point sur ces conditions. Le principe de finalité Vous avez la possibilité de mettre la main sur un super fichier et vous vous dites « pourquoi pas, j'en ferai toujours bien quelque chose plus tard ». Pouvez-vous l'enregistrer et le garder sous la main, quitte à voir ultérieurement en quoi il peut vous aider ? La réponse est non. Selon la directive, les données doivent « être collectées pour des finalités déterminées, explicites et légitimes. » Ce principe a été repris fidèlement tant en France qu'en Belgique. Autre situation. La réponse est peut-être. Le principe de légalité Bravo, vous avez passé avec succès le test de finalité et vous vous dites : « maintenant je peux y aller ». a) la personne concernée a indubitablement donné son consentement, ou Autres conditions

DONNEES PERSONNELLES : la FNAC épinglée par la CNIL Les données bancaires communiquées par des clients lors d'un achat sur Internet sont des données dont la nature justifie des conditions de conservation strictes, entourées de mesures de sécurité élevées. La collecte et la conservation de telles données sont soumises au respect des prescriptions de la loi "informatique et libertés". Au-delà de la transaction, la conservation de ces données est ainsi subordonnée au consentement des clients et ne peut intervenir que pour une durée limitée. Afin de s'assurer du respect de ces exigences, la CNIL a mené, en février 2012, plusieurs contrôles dans les locaux de la société FNAC DIRECT, qui exploite le site fnac.com. La formation restreinte a rappelé que les données ainsi collectées ne devaient être conservées que pendant une durée limitée, et dans des conditions de sécurité renforcées.

Sécurité : les salariés premiers voleurs de données ? Presque toutes les études sur la sécurité informatique affirment que les salariés sont à la fois le maillon faible en termes de défense et qu'ils sont les principaux "voleurs" de données. Il est effectivement plus facile de duper un utilisateur pour lui extorquer un mot de passe (en utilisant les techniques de social engineering) ou de partir avec le fichier clients de son entreprise sous le bras que de pénétrer le système d'information de l'extérieur. "Ceci est un mythe" dément Wade Baker, de l'équipe sécurité de Verizon Business. Dans une récente étude, 2011 Investigative Response Caseload Review, Verizon détaille les résultats de l'analyse de 90 cas d'attaques et de vols de données qui lui ont été soumis. Plus inquiétant : la majorité des entreprises ne savent pas qu'elles ont été piratées. 60 % des problèmes de sécurité ne sont découverts que des mois, voire des années après que le forfait ait été commis.

Cnil et identité numérique Le rapport de M. Albrecht sur le projet de règlement relatif à la protection des données personnelles a été adopté à une large majorité, ainsi que le rapport de M. Droutsas sur le projet de directive. En adoptant simultanément ces deux rapports, le Parlement européen confirme son attachement à une approche d’ensemble de la législation en matière de protection des données. Intervenu avant les élections européennes de mai 2014, le vote permet aussi de consolider les travaux accomplis par le Parlement européen depuis la présentation des propositions de la Commission européenne en janvier 2012, avant la transmission à l’assemblée renouvelée et l’ouverture des négociations avec le Conseil de l’Union européenne. La CNIL continuera de suivre le processus législatif, et en particulier les travaux au sein du Conseil de l’Union Européenne relatifs au projet de règlement, et de faire valoir l’importance d’une vision exigeante de la protection des données des citoyens européens.

Google, Cnil et les données Le 24 janvier 2012, Google annonçait l'entrée en vigueur de nouvelles règles de confidentialité et de nouvelles conditions d'utilisation applicables à la quasi-totalité de ses services à partir du 1er mars 2012. Face aux nombreuses questions soulevées par ces changements, la CNIL a été mandatée par le groupe des CNIL européennes (G29) pour conduire l'enquête sur les nouvelles règles. Deux questionnaires successifs ont été envoyés et Google a fourni ses réponses les 20 avril et 21 juin, plusieurs d'entre elles s'étant avérées incomplètes ou approximatives. En particulier, Google n'a pas fourni de réponses satisfaisantes sur des points essentiels comme la description de tous les traitements de données personnelles qu'il opère ou la liste précise des plus de 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. Google ne fournit pas suffisamment d'informations aux utilisateurs sur ses traitements de données personnelles

La protection des données personnelles, un atout pour la France et l'Europe ! Car la ressource première de l'économie du numérique ce sont les données produites par des centaines de millions de citoyens et de consommateurs. De ce point de vue l'Europe est une mine, un gisement majeur puisque 10 pays européens figurent au top 20 du Web Index des pays les plus avancés dans leurs usages d'internet. Un gisement de ressources rares, avec un PIB par habitant de l'Union européenne parmi les plus hauts de la planète. Ce constat va au-delà de l'internet. Or le client s'inquiète. Cette conviction doit être partagée au moment où s'engage la révision de la directive de 1995 sur les données personnelles. La protection des données personnelles est entrée dans le débat public aujourd'hui ; elle concerne chacun d'entre nous.

Protection des données à caractère personnel Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [Voir actes modificatifs]. La présente directive s'applique aux données traitées par des moyens automatisés (base de données informatique de clients, par exemple) ainsi qu'aux données contenues ou appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels). La directive ne s'applique pas au traitement de données: effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques; mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire comme la sécurité publique, la défense ou la sûreté de l'État. Les transferts de données à caractère personnel d'un État membre vers un pays tiers ayant un niveau de protection adéquat sont autorisés.

RENDEZ-MOI MES DONNEES ! ! ! Principales tendances motrices La crise de la relation de confiance entre individus et organisations et l’inquiétude montante en matière de données personnelles. L’évolution des attentes des consommateurs et des citoyens vers une plus grande maîtrise de leur vie. Signes avant-coureurs Le mouvement Quantified Self : "Connais-toi toi-même par les chiffres." Augmenter le pouvoir d’achat des consommateurs en convaincant les entreprises de partager avec leurs clients toutes les informations personnelles dont elles disposent sur eux : tel est l’objectif du programme MiData que lance le gouvernement de David Cameron en 2011. Pourtant, les premiers résultats n’ont rien de spectaculaire. Les entreprises, ainsi que certaines administrations, apprennent à vivre en partageant leurs données avec leurs clients et usagers. Parallèlement, des effets pervers se dessinent. Qui est concerné ? Raisons de douter L’intérêt économique pour les entreprises n’apparaît pas clairement. Signaux à surveiller

Related: