La protection des données : Vers une gestion cohérente et pragmatique

Transcription

1 La protection des données : Vers une gestion cohérente et pragmatique Genève, 25 Novembre 2011 Michael Chochois Deloitte SA Enterprise Risk Services Security and Privacy Audit. Fiscalité. Conseil. Corporate Finance.

2 Comprendre les risques liés à la protection des données Fuite de données clients 1 Divulgation d informations confidentielles 4 Fuite de savoir-faire 2 Réputation De la Marque 3 Perte d intégrité du patrimoine de données 5 Non-conformité aux obligations légales 7 Diffusion d informations inexactes 6 Vote-Question 1 1

3 De quoi parle t on? La protection et la gestion des données privées se réfèrent généralement au droit des individus à déterminer quand, comment et dans quelle mesure leurs données personnelles pourront être utilisées et éventuellement partagées. Les problématiques de protection des données Stratégiques Implique des choix quant à l'utilisation (ou nonutilisation) d'un capital d'informations fondamental pour l activité de l entreprise Répondre aux préoccupations et perceptions des clients et employés Conformité, gestion opérationnelle Implications opérationnelles de la collecte, du stockage, du traitement, du partage des données par l écosystème de l entreprise Dans un environnement réglementaire Comprendre les flux de données et les cartographier, gérer leur cycle de vie Sécurité Besoin de normes et de mise en œuvre de systèmes de sécurité pour garantir les exigences de confidentialité Définir des critères et des rapports d évaluation efficaces Evaluer et classifier les données Mettre en place les fonctions de sécurité protégeant les systèmes informatiques 2

4 Comment gérer en pratique? Un équilibre entre les besoins commerciaux et les obligations de protection des données personnelles Risk Besoins métiers et commerciaux Marketing Reputational direct damage Outsourcing des Bases de données (CRM,ERP) Impact of fines Data mining et business intelligence Remedial action Réplication d information Données Prevention personnalisées of processing clients/employées Custodial sentences Vs. Compliance Obligations réglementaires Traitement équitable et légal It s the law Collecte pour des besoins spécifiques, explicites et Good légaux governance Adéquat, pertinent, Group et policies non-excessif Correct et sécurisé Ne pas être Stakeholder retenue plus longtemps expectation que nécessaire Traitée en accord avec les droits de l individu Ne pas transférer External les données commitments vers des pays avec une protection inadéquate Risque: La chance d être exposé aux conséquences négatives des événements de l avenir Deloitte SA

5 Photos du paysage réglementaire : Mes données dans le monde sont soumises à des réglementations très variées Le paysage législatif est devenu extrêmement complexe avec une escalade d exigences et des approches divergentes selon les pays. US Federal HIPAA, GLBA, COPPA, CAN-SPAM, Do Not Call, Safe Harbor Principles Canada PIPEDA and Provincial Privacy Laws European Union EU Data Protection Directive, EU Privacy and Electronic Communications Directive as implemented by 27 different Member State Data Protection Laws France CNIL Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée Switzerland Federal Act on Data Protection 02/09 US-Swiss Safe Harbor Framework Russia Federal Law of July 27 tth 2006 No 152-FZ on personal data South Korea Act on Promotion of Information and Communications Network Utilization and Data Protection Japan Personal Information Protection Act (PIPA) Effective April 1, 2005 Taiwan Computer- Processed Personal Data Protection Law California California Online Privacy Protection Act 2003, Security Breach Notice (Civil Code 1798 Formerly SB 1386) Dubai Data Protection Act 2007 Chile Law for the Protection of Private Life India Legislative proposals under discussion Hong Kong Personal Data Privacy Ordinance Argentina Personal Data Protection Law, Confidentiality of Information Law South Africa Electronic Communications and Transactions Act Philippines Data Privacy Law proposed by ITECC Australia Amended Privacy Act Spam Act New Zealand Privacy Act Deloitte Global Services Limited

6 Un tour rapide de la loi «La sphère privée d'une personne est un bien précieux qui bénéficie d'une protection particulière, y compris dans le monde du travail.» Cst.: RS 101 Europe Les principes clés Art. 13, al. 2: Toute personne a le droit d être protégée contre l emploi abusif des données qui la concerne. LPD: RS Loi sur la Protection des Données DUDH / CEDH (art. 12/8) Convention STE 108/CE Directive 95/46/CE (art. 6) Prot. addit. STE 181/CE Directive 2002/58/CE Licéité (art. 4, al. 1, LPD) Transparence (art. 4, al. 2, LPD) Proportionnalité (art. 4, al. 2, LPD) Finalité (art. 4, al. 3, LPD) Exactitude des données (art.5, al. 1, LPD) 6 Communication transfrontière de données (art. 6, al. 1, LPD) OCPD: RS Ordonnance sur les Certifications en matière de Protection des Données OLPD: RS Ordonnance relative à la Loi fédérale sur la Protection des Données Sécurité des données (art. 7 LPD) Enregistrement des fichiers (art. 11a, al. 1, LPD et art. 12b, al.1, OLPD) Droit d accès et de procédure Deloitte SA

7 Les bonnes pratiques:

8 Les pièges à éviter Une déconnection entre les politiques d'entreprise, les pratiques opérationnelles réelles et l'infrastructure technologique réduisent la capacité à mettre en œuvre des changements dans les environnements métiers. Exemples d'activités liées à la protection de la vie privée et des données qui ont conduit à des poursuites judiciaires, ou des amendes: 7 Politiques Policies Policies Policies Policies Processes Processes Procédures Technologie Vote-Question 2 Technologie Technology Disconnect Disconnect Disconnect La fausse déclaration de l objectif de la collecte des données personnelles L impossibilité de divulguer les moyens utilisés pour collecter des données personnelles (ex.. l utilisation et / ou la durée de vie des cookies, bugs Web, les logiciels espions) Le manque de formation à la gestion de la confidentialité des données La divulgation, le partage ou la vente de données personnelles à des tiers contrairement à la politique de confidentialité de l'organisation L exportation de données personnelles contraire aux lois sur la confidentialité du pays d'origine La description erronée des mesures de sécurité des données personnelles

9 Exemple d une entreprise de E commerce 1/2 Contexte L entreprise collecte, crée, stocke et gère de grands volumes de données personnelles, en vue de d organiser des campagnes marketing. Leurs problématiques métier : Focalisés sur la mise en valeur de leur données et l organisation de campagnes, l entreprise a pris en compte partiellement, les exigences légales, par méconnaissance ou impératif opérationnel. Les données sont identifiées et valorisées mais leur gestion, présente des failles de sécurité (processus, organisation, gestion des accès et IT). Contexte d hébergement international, pourtant l entreprise est une PME! Leurs objectifs : Eviter le vol massif du patrimoine de données clients par rapport aux risques internes mais aussi avec les tiers partenaires. Conformités aux exigences réglementaires et juridiques 8

10 Exemple : Approche méthodique & pragmatique 2/2 Ateliers de travail pour prise de connaissance Preparation Mesure des risques majeurs quant à la gestion des données privées, pour prioriser Gouvernance Objectif et visions Rôles et responsabilités Soutien du management Principes et politiques Développer, documenter les principes et politiques basés sur les analyses rationnelles, Programme de sensibilisation Identification et cartographies Analyse de l environnement des processus métiers, de l écosystème de l entreprise Analyse des contraintes réglementaires et identification des écarts et besoins urgents de mise en conformité Stratégie de mise en oeuvre Plan d action d implémentation, budgétisation et priorisation Tiers, localisation, contrats, déclarations FDPIC, mesures org. & techniques de Sécurité IT Inventaires des données Cartographier les données collectées, le stockage, l utilisation, les transferts et processus de destruction 9 Implémentation et maintenance Cartographie des flux et des accès (qui accède à quoi?) OPERATIONAL PROCESSES Plan d actions concret interne et avec les partenaires Modification des processus Aide à la opérationnels correction des clauses dans les contrats Implémentation de mesures de sécurité techniques et organisationnelles Suivi : Revue régulière du programme de protection en suivant les évolutions de l activité Mise en place de la surveillance, détection et réaction sur incident Supervision : Evaluer l efficacité du programme : KPI, KRI, sécurimétrie

11 Conclusion Entamer toujours une investigation approfondie dans les pratiques/procédures de protection des données personnelles de vos partenaires/fournisseurs Baser son approche sur les risques de votre entreprise Adopter une stratégie de sécurité avec un focus plus intense sur la sécurité des données au lieu de s appuyer uniquement sur la sécurité du périmètre. S assurer que les programmes de sécurité et ceux de protection de données personnelles (confidentialité) soient bien alignés Sensibiliser, sensibiliser et encore sensibiliser au sein de l entreprise 10

12 Annexe 1 : Quelques solutions techniques de protection des données Les solutions suivantes sont utilisées séparément ou combinées pour assurer la protection des données: Fonctions de sécurité technologiques Technicité Coûts DLP (data leakage prevention) : filtrage par mots clés, protection des périphériques, des passerelles mails Chiffrement des données PC Chiffrement des données en base et sauvegardes chiffrées Surveillance des activités sur les bases de données Collecte de logs,analyse centralisée Contrôle d'accès aux données/applications, authentification forte aux applications sensibles Archivage et mise au rebut des données Isolation des machines accédant aux données sensibles (pas d'accès internet) Virtualisation des applications sensibles (Citrix...) Filtrage des flux, analyse de conformité des règles de filtrage(firewall) 11

13 Deloitte S.A. Deloitte S.A. Route de Pre-Bois Geneva Switzerland Av. Montchoisi Lausanne Switzerland Michael Chochois Enterprise Risk Services Tel.: Mobile: Anthony Walsh Enterprise Risk Services Tel.: Mobile: mchochois@deloitte.ch anthonywalsh@deloitte.ch Member of Deloitte Touche Tohmatsu Member of Deloitte Touche Tohmatsu 12

14 Deloitte fait référence à Deloitte Touche Tohmatsu Limited ( DTTL ), une «UK private company limited by guarantee» (une société à responsabilité limitée de droit britannique) et à son réseau de sociétés affiliées, formant chacune une entité juridique indépendante et séparée. Pour une description détaillée de la structure juridique de DTTL et de ses sociétés affiliées, veuillez consulter le site Deloitte SA est une filiale de Deloitte LLP, la société britannique affiliée de DTTL. Deloitte SA est reconnue comme société d'audit agréée par l'autorité fédérale de surveillance en matière de révision (ASR) et par l'autorité fédérale de surveillance des marchés financiers (FINMA). La présente publication a été rédigée en des termes généraux et ne peut servir de référence pour des situations particulières ; l application des principes ainsi définis dépendra de circonstances spécifiques et nous vous recommandons de consulter un professionnel avant d agir ou de vous abstenir d agir sur la base du seul contenu de cette publication. Deloitte SA conseille volontiers les lecteurs sur la manière d intégrer les principes définis dans la présente brochure à leur situation propre. Deloitte SA décline tout devoir de diligence ou de responsabilité pour les pertes subies par quiconque agit ou s abstient d agir en raison du contenu de la présente publication. Deloitte SA Tous droits réservés Deloitte SA