@ : MISE EN ROUTE D UNE CONFORMITÉ CNIL DANS UN ÉTABLISSEMENT PUBLIC. Christine.andreck@gmail.com Thomas.arino@hotmail.fr



Documents pareils
LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

La présentation qui suit respecte la charte graphique de l entreprise GMF

Les données à caractère personnel

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Les audits de l infrastructure des SI

PROGRAMME DE FORMATION

ETUDE SERDALAB SOMMAIRE «GED ET GESTION DE CONTENU : MARCHE, BESOINS ET TENDANCES »

Systèmes et réseaux d information et de communication

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

Marché à Procédure adaptée. Tierce maintenance applicative pour le portail web

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

«Informatique et Libertés» POUR L ENSEIGNEMENT DU SECOND DEGRÉ

Catalogue des produits et services Tarif public Décembre 2014

L analyse de risques avec MEHARI

GESTION DES RISQUES Cartographie COVIRISQ

Tableaux comparatifs entre éditions Standard, Professionnelle, Entreprise

Charte académique relative à L HEBERGEMENT DES SITES WEB

INDICATIONS DE CORRECTION

PRÉSENTATION DE L OFFRE

Prestations d audit et de conseil 2015

«Marketing /site web et la protection des données à caractère personnel»

«En 2013, je m occupe enfin de mon Système d Information!»

27 mars Sécurité ECNi. Présentation de la démarche sécurité

REF01 Référentiel de labellisation des laboratoires de recherche_v3

Guide juridique de l'e-commerce et de l'e-marketing

PÉRENNISER LA PERFORMANCE

Gestion des Incidents SSI

MICROSOFT DYNAMICS CRM & O Val

Magisoft CRM. L intelligence Software. Progiciels de gestion pour l industrie

Edition et intégration de logiciels médicaux. Service commercial 22 rue de Chantepie JOUE LES TOURS. Tél : Fax :

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

INDICATIONS DE CORRECTION

Institut d Informatique & d Initiative Sociale

CONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION

Qualité retour d expérience. Christophe Petit Responsable du pôle qualité de la DSI christophe.petit@ac-lille.fr

Indicateur et tableau de bord

A. Le contrôle continu

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

IT CENTRE DE VALEUR la transformation s opère jour après jour. Philippe Kaliky. Directeur Centre de Services. Espace Grande Arche Paris La Défense

Contribution du Système d informationd à la valeur de l entreprisel

UE 4 Comptabilité et Audit. Le programme

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

Guide juridique de l'e-commerce 7 règles à connaître pour la sécurisation juridique et la valorisation d'un site e-commerce

Comité de pilotage Site natura 2000 des carrières de Cénac

Aide au recrutement, à l accueil et à l intégration des nouveaux entrants Professionnalisation et fidélisation d un salarié Tutorat

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

Le contrat Cloud : plus simple et plus dangereux

CHARTE D UTILISATION DE LA PLATEFORME DES ACHATS HOSPITALIERS DE BASSE-NORMANDIE

Législation et droit d'un administrateur réseaux

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

Instructions dans la recherche clinique

Epargne, Retraite, Prévoyance et Santé

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

FICHE TECHNIQUE : METTRE EN PLACE UNE GPEC

Rôle de l Assurance Qualité dans la recherche clinique

Qu est-ce qu un système d Information? 1

MESDAMES ET MESSIEURS LES DIRECTEURS ET CHEFS DE SERVICE

Synthèse résultats Baromètre Dématérialisation Finance Edition Spéciale PME. Juillet 2012

EXTRAIT DU REGISTRE DES DÉCISIONS DE M. LE GOUVERNEUR DE LA BANQUE DE FRANCE LE GOUVERNEUR DE LA BANQUE DE FRANCE DÉCIDE

Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement.

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Procédure adaptée (Article 28 du Code des marchés publics)

CAHIER DES CHARGES DE REALISATION DE SITE INTERNET

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

INTELLIGENCE JURIDIQUE

UE 8 Systèmes d information de gestion Le programme

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

Dématérialisation des factures

QoE : Comment mesurer le ressenti utilisateur en environnement multi-site? 30 avril 2015

GStock La gestion commerciale, stock et facturation qui vous correspond. Les apports de GStock pour votre entreprise :

APPEL D OFFRES PRESTATION ARCHITECTE IDENTITY ACCESS MANAGMENT DSI PAP DOCUMENT DE CONSULTATION 14 OCTOBRE 2014

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

CHARTE WIFI ET INTERNET

institut national de jeunes sourds de Paris

Génie Logiciel LA QUALITE 1/5 LA QUALITE 3/5 LA QUALITE 2/5 LA QUALITE 4/5 LA QUALITE 5/5

1. faciliter la création des sociétés à responsabilité limitée (SARL) :

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Les enjeux stratégiques et économiques du Cloud Computing pour les collectivités territoriales

Gestion Comptable Sage 100

Calculs de coût. Université de Marne-la-Vallée 4/35 Laurent Wargon

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

Réforme relative au permis de construire et aux autorisations d urbanisme

Gestion Administration

APPEL D OFFRES PRESTATION COORDINATEUR-EXPERT TESTS DE PERFORMANCES DSI PAP DOCUMENT DE CONSULTATION 25 AVRIL 2014

I. BILAN 2013 ET PROSPECTIVE 2014

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

PROTÉGER VOS BASES DE DONNÉES

GC Soft. Carnet de fonctionnalités

Notre expertise. habitat social

Les points clés des contrats Cloud Journée de l AFDIT Cloud Computing : théorie et pratique

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise

Présentation de l Université Numérique de Paris Île-de-France

Le nouvel acheteur de solutions informatiques. Les lignes d affaires adoptent les technologies Cloud Infobrief IDC, sponsorisée par Cisco mars 2015

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

Webinar EBG Nouvelles perspectives d'exploitation des données clients avec le big data

Cahier des charges Hébergement Infogérance

Transcription:

@ : Christine.andreck@gmail.com Thomas.arino@hotmail.fr MISE EN ROUTE D UNE CONFORMITÉ CNIL DANS UN ÉTABLISSEMENT PUBLIC Conférence présentée le 20 octobre 2015 à : L Observatoire de la Sécurité des Systèmes d Information et des Réseaux de Toulouse C H R I S T I N E A N D R E C K & T H O M A S A R I N O / P A R T E N A I R E : R ÉMY B L A N C H A R D

SOMMAIRE 1. Introduction Textes applicables Contexte Initialisation de la démarche Le CIL Risques de non-conformité 2. Déroulement Étude des règles spécifiques à la structure publique Étude de l existant Etat des lieux : Exemples Bilan /Mise en évidence des écarts de conformité 3. Priorités prévisionnelles Délai 3-6 mois Délai 6-36 Mois 4. Conclusion 2

INTRODUCTION : Rappel des textes applicables -Directive 95/46/CE 24/10/1995 -Loi 6/08/2004 Avis CNIL Loi 6/01/1978 Informatique & Libertés Avis G29 Projet Règlement Européen 3

INTRODUCTION : Contexte TDCP* de 21.300 étudiants /1.000 personnes (ens/personnel) Gestion 140 applications et 63 Bases de données 45.000 mails reçus/jour 700 postes de travail (hors salles de TP informatiques) 160 serveurs *Traitement de Données à Caractère Personnel 4

INTRODUCTION : Contexte (Suite) LA DSI EXPERTISE TECHNIQUE Missions : infrastructure / matériels / logiciels / services numériques Structure : 1. Système 2. Support 3. Ingénierie MAINTIEN OPÉRATIONNEL PILOTAGE INFORMATIQUE DSI STRATÉGIE ET CONSEIL INFORMATIQUE EXPERTISE FONCTIONNELLE 5

INTRODUCTION : Initialisation démarche MENER MISSIONS DE CIL Composantes Université Les applications/leurs dépendances 26 thèmes prioritaires Synthèses Guides CNIL Étape 1 : Étude règles spécifiques Étape 2 : Étude de l existant Questionnaires chefs de service/cnil Liste TDCP /Inventaire déclarations Documentation Point d avancement Proposer une organisation Check-list des actions futures Étape 3 : Prospectives 6

INTRODUCTION : Le CIL CORRESPONDANT INFORMATIQUE ET LIBERTES CONSEIL Rend compte Au Responsable De traitement Au-delà 50 personnes Forcément interne à la structure PRÉSENCE Interne ou externe «Mr CNIL» REGISTRE Des traitements Il se substitue aux déclarations normales et simplifiées PROJET Règlement Européen Art.35 : Obligatoire pour organismes publics (et traitements de données de + 5.000 Personnes) 7

INTRODUCTION :Risques de non-conformité Sanctions CNIL Avertissements Sanctions pécuniaires (150K max ; x2 si récidive) ; limite : 5 % CA Injonctions Retrait de l autorisation Sanctions pénales Art 226-16 -> 226-24 Code pénal 3 ans de prison + 100K (divulgation par imprudence/négligence ) 5 ans de prison + 300K ( Non-respect principe de sécurité, communication tiers non-autorisés ) Discrédit dans l opinion Publicité possible des sanctions Image de marque impactée Ex : sites de rencontre 8

DÉROULEMENT : Règles spécifiques à la structure ÉTA PE PRELIMINAIRE ÉTUDES APPLICATIONS Règles spécifiques de la structure publique Les composantes de l Université Règles informatique et libertés Leurs dépendances SYNTHÈSES Guides CNIL 9

DÉROULEMENT : Étude de l existant 2 èm e Étape Délimitation périmètre de travail Analyse de documentation juridique Questionnaires des différents acteurs Cartographie des TDCP Inventaire des déclarations 10

DÉROULEMENT : Exemple des données dématérialisées ÉTAT DES LIEUX Archivage numérique Sauvegarde numérique Protection à distance des données RECOMMANDATIONS MDP Mise à jour Code NAS BU Alarmes Réduire les personnes autorisées Historique 11

DÉROULEMENT : Exemple de la Charte Informatique ÉTAT DES LIEUX Information indiv/collective utilisateurs : Des traitements de leurs données Du contrôle & Utilisation outils informatiques Charte OBLIGATOIRE si collecte données par le SI RECOMMANDATIONS Opposabilité : Si annexée au Règlement intérieur Définition usage professionnel/privé résiduel Ne peut interdire usage raisonnable d internet Rappel principe confidentialité Administrateur réseau Livret procédures (bonnes pratiques) 12

DÉROULEMENT : Bilan 3 èm e Étape Mise en valeur écarts conformité Loi/recommandation CNIL Comparaison/Référentiels CNIL Recommandations 13

DÉROULEMENT : Bilan (Suite) 4 èm e Étape Conformité relative aux déclarations CNIL les plus structurantes pour l Université Initialisation : d une architecture de documentation juridique d une organisation 14

PRIORITÉS PRÉVISIONNELLES RECOMMANDAT I ONS Prévisions 3-6 MOIS 6-36 MOIS Déploiement totalité composantes 15

PRIORITÉS PRÉVISIONNELLES RECOMMANDAT I ONS 16

PRIORITÉS PRÉVISIONNELLES RECOMMANDAT I ONS 17

CONCLUSION 18

CONCLUSION 19

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back