PROTÉGER VOS BASES DE DONNÉES



Documents pareils
CONDITIONS GÉNÉRALES D UTILISATION

Sommaire. 1. Préambule

DROIT D AUTEUR & BASES DE DONNÉES

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Big Data: les enjeux juridiques

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Quelles sont les informations légales à faire figurer sur un site Internet?

Guide juridique de l'utilisateur des systèmes d information des ministères de l éducation nationale, et de l'enseignement supérieur et de la recherche

Conditions d'utilisation de la plateforme Défi papiers

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Reporting AIFM : quelles obligations pour quels gestionnaires? Guide pratique pour répondre aux exigences de la directive AIFM

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

CONDITIONS GENERALES D UTILISATION

«Marketing /site web et la protection des données à caractère personnel»

LICENCE SNCF OPEN DATA

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

commerce GÉRER LE RISQUE DE LA CYBERCRIMINALITÉ

GESTION DES RISQUES GUIDE DE PRÉVENTION DES MÉTIERS DE LA SÉCURITÉ.

Guide juridique de l'e-commerce 7 règles à connaître pour la sécurisation juridique et la valorisation d'un site e-commerce

Commission nationale de l informatique et des libertés

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

AIG, un des leaders mondiaux de l assurance, compte plus de collaborateurs et 88 millions de clients dans le monde. Vous trouverez dans cette

CONDITIONS D UTILISATION «ESPACE PERSONNEL»

LICENCE SNCF OPEN DATA

CONDITIONS GENERALES DE VENTE DE LA BOUTIQUE EN LIGNE TANGO

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

Gérer votre patrimoine.

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Débats et Prospectives

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices)

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Toute utilisation du site doit respecter les présentes conditions d utilisation.

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Guide juridique de l'e-commerce et de l'e-marketing

Licence ODbL (Open Database Licence) - IdéesLibres.org

Revue d actualité juridique de la sécurité du Système d information

Charte Informatique INFORMATIONS GENERALES

Décrets, arrêtés, circulaires

POLITIQUE DE DANAHER CORPORATION EN MATIERE DE LUTTE CONTRE LA CORRUPTION

L entreprise face à la Cybercriminalité : menaces et enseignement

Stratégie nationale en matière de cyber sécurité

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Quel cadre légal pour l exploitation des «Big data»? Jean-François Forgeron

Solutions EMC Documentum pour les assurances

Ressources APIE. Réutilisation des informations publiques, bases de données et marchés publics. de l immatériel. Cahier pratique.

COMMUNICATION POLITIQUE ObligationS légales

LICENCE D UTILISATION DU LOGICIEL ACOUBAT SOUND VERSION 7

Conditions Générales d Utilisation de l Espace adhérent

Group AXA Règles internes d entreprise ou Binding Corporate Rules (BCR)/

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

Intelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites

CODE PROFESSIONNEL. déontologie

Obligations en matière de Sécurité des Systèmes d Information Avec la contribution de

Le e-tourisme et les enjeux juridiques

Camping-car Park est un concept novateur de gestion d aires d étapes de camping-cars en France et à l Etranger, ouvertes 24 H/24, toute l année.

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

CHARTE INFORMATIQUE LGL

Accessibilité des personnes handicapées et à mobilité réduite, aux installations et établissements recevant du public.

Management de la sécurité des technologies de l information

Les questions posées pour la protection des données personnelles par l externalisation hors de l Union européenne des traitements informatiques

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Charte académique relative à L HEBERGEMENT DES SITES WEB

9 RÉFLEXES SÉCURITÉ

CONDITIONS GÉNÉRALES AFFINITAIRES CINÉMA DE L OPTION À CHACUN SON IMAGE Édition juin 2014

Conditions Générales de Vente

ACCORDS COMMERCIAUX DANS L APRÈS-VENTE Les relations du réparateur avec l assureur et l expert automobile

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

AVENANT AU REGLEMENT DU CONCOURS

Conditions Générales d Utilisation

Le droit d auteur et les. thèses électroniques

Conditions générales d abonnement en ligne et d utilisation du site

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Gestion des cyber-risques

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Législation et droit d'un administrateur réseaux

La protection juridique des bases de données illustrée par les dernières jurisprudences

I La conservation des dossiers médicaux répond à un triple intérêt :

LIVRE BLANC WiFi PUBLIC

Bonnes pratiques de l'ocde pour la gestion des sinistres d assurance

Reprendre une entreprise. Nous allons faire un bout de chemin ensemble!

Conditions générales d utilisation

Les Règles Contraignantes d Entreprise francophones (RCEF) Foire aux questions (FAQ) Version pour les entreprises décembre 2014

La cyberdéfense : un point de vue suisse

Le programme d'affiliation de l'annonceur est géré par Effiliation (

Directive cadre du groupe. Protection des données des clients et des partenaires.

Transcription:

PRÉVENTION by HISCOX DATA RISKS PROTÉGER VOS BASES DE DONNÉES

Préambule La base de données est défi nie par l article L.112-3 du Code de la propriété intellectuelle comme un recueil d œuvres, de données ou d autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen. Les bases de données sensibles, et surtout personnelles (données clients, salariés, partenaires, savoir-faire, produits, etc.), constituent aujourd hui des actifs stratégiques pour toutes les entreprises. Ceci leur donne une valeur économique essentielle et fait de leur protection une préoccupation cruciale pour les dirigeants, qui doivent aujourd hui gérer les vulnérabilités de leur système d information face aux menaces de cyber-attaques, de vol ou d extraction par des tiers de leurs données. C est pourquoi les entreprises disposent aujourd hui d un arsenal de mesures techniques et juridiques à mettre en place pour protéger : Les investissements réalisés pour constituer et faire fonctionner leurs bases de données, Le contenu de ces bases de données, particulièrement quand il concerne des tiers.

I. Comment protéger les investissements relatifs à vos bases de données? Objectif du régime spécifique dédié à la protection des producteurs de bases de données : empêcher l extraction ou la réutilisation substantielle ou systématique de vos bases de données par des tiers, notamment par les méta-moteurs de recherche, lorsque la constitution et/ou le fonctionnement de ces bases reposent sur des investissements conséquents (financiers, humains, matériels, organisationnels, etc.). Le producteur de base de données est celui qui prend l initiative et le risque des investissements correspondants. Il bénéficie d une protection du contenu de sa base lorsque la constitution, la vérification ou la présentation de celle-ci atteste d un investissement financier, matériel et humain substantiel (article L.341-1 du Code de la propriété intellectuelle). a. Quelques mesures juridiques à mettre en place Documenter vos investissements liés à la constitution de vos bases de données (architecture, processus de collecte des données, etc.) et à leur fonctionnement (mises à jour, vérifications, upgrades, etc.) attention, les investissements relatifs à la création des contenus ne sont pas pris en compte. Prévoir dans vos conditions générales d utilisation une limitation de l accès par des tiers (clients, partenaires, etc.) à vos bases de données, dans le temps, l espace, les supports, etc. b. Quelques conseils techniques pour vous protéger Contrôler les accès à la base de données (nombre réduit d utilisateurs, identifiants et mot de passe forts, politique active de contrôle des accès, accès uniques ou en durée limitée, etc.). Créer des coquilles ou informations fictives dans la base pour permettre une identification de l origine des données. Intégrer dans votre base de données des adresses mails qui vous appartiennent, de manière à recevoir les mailings qui feraient suite à une utilisation non autorisée. Faire des constats d huissier à plusieurs reprises, en cas d extraction non autorisée de données par des tiers qui les rendent ensuite disponibles sur internet.

II. Comment protéger juridiquement les données personnelles? Définition d une donnée à caractère personnel au sens de la Loi Informatique & Libertés : information permettant, directement ou non, l identification de personnes physiques. Par exemple : nom, immatriculation, téléphone, photo, compte bancaire figurant dans des fichiers salariés / clients / prospects / fournisseurs, badge d accès, appareil mobile, intranet, etc. a. Déclarer le traitement de données personnelles à la CNIL Dans leur grande majorité, les traitements de données personnelles sont soumis à déclaration à la CNIL (Commission nationale de l informatique et des libertés) ou autorisation de celle-ci. Le non-respect de cette obligation est passible de sanctions pénales. En outre, la CNIL peut infliger des amendes allant jusqu à 150 000 e, et, en cas de récidive, jusqu à 300 000 e. Ces sanctions peuvent être rendues publiques, et / ou accompagner d une insertion de la décision de la CNIL dans la presse, aux frais de l organisme sanctionné. De surcroît, tout fichier de données personnelles non déclaré à la CNIL est dit hors commerce : il ne peut être ni vendu, ni cédé, ni loué, etc., parce qu il est illicite (Cour de Cassation, arrêt du 25 juin 2013). Cela constitue donc une protection de la base. Depuis la loi du 17 mars 2014, la CNIL peut, en direct et sans information préalable, procéder à des contrôles en ligne des sites internet et / ou fichiers disponibles en ligne, constater à distance les failles de sécurité, puis engager des poursuites et prononcer des sanctions. En complément, la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) est également habilitée lors de ses contrôles à recueillir les informations concernant d éventuelles violations de la loi Informatique et Libertés, et à les transmettre à la CNIL pour action. b. Respecter les critères de collecte et de traitement des données personnelles Pour répondre aux critères de la Loi Informatique et Libertés, la collecte et le traitement de données à caractère personnel dans le cadre de bases de données internes ou externes doivent être faits dans les conditions suivantes (sauf cas particuliers) : Le producteur de base de données doit informer les personnes dont les données sont collectées / traitées et, dans certains cas, obtenir leur consentement,

Le traitement et la collecte doivent être effectués proportionnellement à un but précis et légitime, La collecte des données doit être loyale et licite, Les données doivent être exactes et à jour, Les données doivent être conservées pendant une durée limitée au regard du but recherché (c est le principe consacré du droit à l oubli), Des mesures de sécurité doivent être mises en place pour lutter contre les risques de destruction, perte, diffusion ou accès non autorisé aux données. Exemples de cas sanctionnés par la CNIL : Absence sur votre site internet d un formulaire de recueil du consentement des internautes concernant les cookies, Impact d une cyber-attaque qui a mis en libre accès sur internet les données personnelles dont vous êtes responsable. Enfin, le transfert des fichiers de données personnelles en dehors de l Union Européenne (UE) n est autorisé que sous réserve de garanties particulières. Pour simplifier leurs procédures, les entreprises avec des filiales hors de l UE ont la possibilité d adopter un code de conduite appelé BCR (Binding Corporate Rules) : le respect de ce code à l intérieur de l entreprise permet le transfert des données partout dans le monde entre les entités qui la composent. Pour en savoir plus : http://www.cnil.fr/vos-obligations/transfert-de-donneeshors-ue/les-bcr/ Parmi les évolutions réglementaires à venir, nous pouvons citer une proposition de règlement européen qui impose, entre autres, une étude d impact préalable à certains traitements de données personnelles présentant des risques spécifiques pour les droits et libertés des personnes. Conclusion Le cyber-risque fait désormais partie des menaces que les dirigeants d entreprises doivent impérativement appréhender et anticiper. Afin de préserver la confiance des investisseurs, des partenaires et des clients, les entreprises doivent donc faire évoluer régulièrement leur politique de sécurité IT, mettre en place des plans de réponse avec l aide d experts, et transférer à un assureur spécialiste le risque financier que représente une cyber-attaque ou une perte de données.

À propos de Hiscox Fondé en 1901, Hiscox est un groupe international d assurances spécialisées coté sur le London Stock Exchange (HSX). Hiscox a trois principales composantes : Hiscox London Market, Hiscox Re et Hiscox Retail regroupant plus de 1 500 collaborateurs. Hiscox est présent depuis 25 ans dans le secteur des métiers de l informatique (20 000 clients IT en Europe dont 7 500 en France), et depuis plus de cinq ans dans le domaine de la cybercriminalité, avec 30 souscripteurs dédiés aux risques technologies-médias-télécoms. En se spécialisant dans des secteurs bien défi nis et en plaçant l assuré au cœur de ses préoccupations, Hiscox a mis au point des solutions sur mesure pour garantir les professionnels contre les conséquences en cas de perte/vol de données. En France, Hiscox dispose de bureaux à Paris, Lyon et Bordeaux. Hiscox France s appuie sur ses 110 collaborateurs pour proposer une large gamme d assurances conçues pour répondre aux besoins des particuliers, des professionnels et des collectivités. Pour plus d informations : www.hiscox.fr À propos de Bird & Bird Le cabinet Bird & Bird a été fondé à Londres en 1846 et dès ses débuts s est investi dans la protection des idées et innovations de son temps. Aujourd hui, Bird & Bird est un cabinet d avocats international avec 26 bureaux répartis en Europe, Asie et Moyen-Orient. Avec plus de 1 100 professionnels du droit, le cabinet couvre la plupart des domaines du droit privé et public des affaires et de la fi scalité. Un des atouts du cabinet est sa connaissance approfondie de secteurs clés de l économie tels que l aviation, l énergie, les services fi nanciers et l assurance, les technologies de l information, les communications électroniques ou encore les sciences de la vie. En France, le cabinet est présent à Paris et à Lyon et rassemble plus de 90 avocats dont 22 associés. Depuis de nombreuses années, Bird & Bird France a acquis une position de leader dans les secteurs des technologies de l information, de la protection des données personnelles, de l aviation, des communications électroniques et des médias. Il est également l un des acteurs incontournables en propriété intellectuelle (marques, noms de domaines, droits d auteur et brevets). En partenariat avec 19 rue Louis Le Grand 75002 Paris T 0810 50 20 10 F 0810 00 71 02 E hiscox.info@hiscox.fr www.hiscox.fr Bird & Bird AARPI Centre d Affaires Edouard VII 3 square Edouard VII 75009 Paris www.twobirds.com Ce document constitue un outil pédagogique de sensibilisation à la prévention et à la gestion des sinistres et n emporte aucun engagement juridique de la part d Hiscox. Les informations qui y sont présentées sont de nature générale et Hiscox ne saurait en garantir l exactitude, l exhaustivité et l actualité. Les informations présentées au travers de ce document ne sauraient en aucun cas amender, compléter ou interpréter de quelque manière que ce soit les termes des polices d assurances Hiscox. Les sinistres sont étudiés au cas par cas et sont sujets aux conditions applicables de la police d assurance qui y est rattachée. Le contenu de ce document est la propriété exclusive d Hiscox et il ne peut faire l objet d une reproduction partielle ou totale sans le consentement écrit préalable d Hiscox.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back