SITES A CONTRÔLE D'ACCES

Documents pareils
Autorité cantonale de la transparence et de la protection des données ATPrD Kantonale Behörde für Öffentlichkeit und Datenschutz ÖDSB

Questionnaire de vérification pour l implantation de la norme ISO dans une entreprise

Surveillance consolidée des banques et des négociants en valeurs mobilières

Règlement relatif au traitement des données

QUESTIONNAIRE DE PRE-AUDIT. Rubrique n 1 : Présentation de l entreprise

Concept d assurance de la qualité pour la formation à la pratique professionnelle au sein des écoles de commerce

4 Système de management de la qualité

Loi sur l'archivage (LArch)

Migration vers le Libre

Hier, Mathilde rencontrer son professeur. A pu A pue. Les animaux.malades pendant une courte période. Sont été Ont été Sont étés

QUESTIONNAIRE D AUTO EVALUATION

NPA : Lieu : Canton :

Royaume du Maroc. Simpl-TVA. E-service de télédéclaration et de télépaiement de la TVA. 20 juin juin 2006

Directives sur la gestion des dossiers dans les domaines AVS/AI/APG/PC/AfamAgr/Afam (DGD)

CGA. Assurance des soins. (Conditions générales d assurance) Visana SA, sana24 SA, vivacare SA. Med Call (LAMal) Valable dès 2014

ROF 2003_096. Ordonnance. modifiant certaines dispositions relatives à la sécurité des ascenseurs. Le Conseil d Etat du canton de Fribourg

Type d'organisation. 2. Décrivez comment le système d'information qui appuie la recherche et les activités de financement est organisé.

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Préavis n 10/14 au Conseil communal

Guide No.2 de la Recommandation Rec (2009).. du Comité des Ministres aux États membres sur la démocratie électronique

Réforme des comptes d épargne réglementés

Dossier d'étude technique

d intervention prioritaires de l Etat et les modalités de cette intervention.

Risques psychosociaux et petites entreprises Outil "Faire le point"

CONVENTION POUR LA SAUVEGARDE DU PATRIMOINE CULTUREL IMMATÉRIEL COMITÉ INTERGOUVERNEMENTAL DE SAUVEGARDE DU PATRIMOINE CULTUREL IMMATÉRIEL

2.2 Objet du contrôle Il y a lieu de vérifier les points suivants de manière individuelle ou combinée.

Merci beaucoup de votre collaboration

( ) Fax : ( ) Courriel : Veuillez annexer une liste des adresses de toutes les succursales ou bureaux du proposant.

sur les bourses et les prêts d études (LBPE)

Proposition n o 3 Assurance médicaments. Résumé des faits

GROUPE DE CONTACT DES DIRECTEURS

Règlement de traitement des données personnelles. Version destinée au siège principal

Gestion électronique des affaires (GEVER) Auxiliaire de travail

Questions à se poser lors de la signature d un contrat d exploitation de chauffage

A.1.d. État actuel du secteur

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières

Nom Prénom :... Mon livret de stage

Formation à la recherche documentaire sur le web

Thématiques Questions possibles berufsfeld/fach

Sans cet agrément, il est interdit de pratiquer l assurance, en Suisse ou à partir de la Suisse (art. 87 LSA).

Optimiser l organisation pour voir plus loin. Le système GEVER dans l Administration fédérale : cadre légal et standards

Retraite. Date de la retraite

ENQUETE ACCES AUX SOINS

Le contrat Cloud : plus simple et plus dangereux

Démarches en ligne Inscription sur les Listes Electorales et Recensement Citoyen Obligatoire. Août 2011

Directive Lpers no 50.1

DEMANDE D OUVERTURE DE COMPTE CONJOINT

Directive de la Direction 6.2. Utilisation d Internet, de la messagerie électronique, des réseaux sociaux, de la téléphonie et du poste de travail

Questionnaire relatif à la participation à l assurance chômage

Information de l acquéreur ou du locataire. Obligations du vendeur ou du bailleur

Cadre juridique de la Protection des Données à caractère Personnel

WEB et Industries de Santé Industrie Pharmaceutique, Dispositifs Médicaux, Imagerie, Diagnostic in vitro et Matériel Médical

Consultez-nous. Traiter votre plainte par la résolution locale

QU EST-CE QUE LE SAAS?

REPONSE SUISSE AU QUESTIONNAIRE RELATIF A LA PROTECTION SOCIALE

1 von :59. Vie numérique Dimanche5 mai 2013

Création d entreprise «Survey_Economy»

La gestion du personnel

26 e CONFÉRENCE DES MINISTRES EUROPÉENS DE LA JUSTICE

EXPOSE. La SuisseID, qu est ce que c est? Secrétariat d Etat à l Economie SECO Pierre Hemmer, Chef du développement egovernment

La gouvernance dans les grandes associations et fondations

DROIT AU DEREFERENCEMENT

DEMANDE D INFORMATION RFI (Request for information)

L ANALYSE COUT-EFFICACITE

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Questionnaire de sondage: de la communication interne dans l organisation

GUIDE DE SOUMISSION D UN PROJET DE RECHERCHE

Identifier et comprendre vos clients

«Identités numériques et gestion des identités (IDm)»

Ordonnance sur la gestion électronique des affaires dans l administration fédérale

Services partagés Canada. Communications convergentes Séance III

Ordonnance sur la formation professionnelle initiale

Demande de prestations AI pour adultes: Allocation pour impotent AI

Foire Aux Questions Cocagne Investissement

1 Questions générales PDF et PAdES Archivage Visualisation Signature DSS en tant que service...

INDICATIONS DE L AMYGDALECTOMIE CHEZ L ENFANT

Droits et obligations des travailleurs et des employeurs

Statuts des organisations du monde du travail dans le champ professionnel de la forêt (Ortra Forêt)

Outil 5 : Exemple de guide d évaluation des auditeurs internes

Relations Publiques Liste de vérification des logiciels

Note de présentation RC Evénementiel

Je découvre le diagramme de Venn

Tableau Comparatif CELI ET REER

Lettre de mission. Services de consultant pour une évaluation à mi-parcours de la Stratégie de l UIP

Questionnaire. sur l évaluation interne Qualité dans les centres d accueil pour enfants, adolescents et jeunes adultes

Nom et prénom Date de naissance Téléphone (privé/prof./natel) Joignable quand? Genre de véhicule (Auto/Moto etc.) Marque Plaque de contrôle

Question N 2 1. Quelles sont les catégories de véhicules à moteur pour lesquelles l assurance est obligatoire?

Ordonnance du SEFRI sur la formation professionnelle initiale

Réponses aux questions Concours Cassin 2014

S T A T U T S. 6. L association ne poursuit aucun but lucratif ou commercial.

Outil de documentation sur la réduction D : Système d archivage de l analyse de la réduction

Modification de l ordonnance concernant l octroi d allégements fiscaux en application de la politique régionale

Protection des données et transparence dans le canton de Genève

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence

Guide d'auto-évaluation des établissements d'enseignement supérieur

QU EST-CE QUE LE SAAS?

Les archives de l entreprise à l ère du numérique. Présentée par: HAMMA Mustapha

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

Tarif et modifications tarifaires dans la loi sur l assurance-maladie (LAMal)

L AUTO-ÉVALUATION HAP : KIT METHODOLOGIQUE PARTIE 2 : OUTILS D AUTO-ÉVALUATION

Transcription:

Autorité cantonale de la transparence et de la protection des données ATPrD Kantonale Behörde für Öffentlichkeit und Datenschutz ÖDSB Rue des Chanoines 2, 1700 Fribourg T +41 26 322 50 08, F +41 26 305 59 72 www.fr.ch/atprd SITES A CONTRÔLE D'ACCES Mémorandum pour le contrôle initial 1. Objectif Le présent Mémorandum se fonde sur le pouvoir de conseil de la Préposée (art. 31 al. 2 let. b de la Loi du 25 novembre 1994 sur la protection des données LPrD) et sur la tâche de l Autorité cantonale de surveillance de donner un avis préalable aux projets prévoyant la diffusion sur un site de données personnelles sensibles (art. 8 al. 3 de l Ordonnance du 3 mai 2005 relative aux sites internet de l Etat). Le Mémorandum a pour but d aider les organes publics à fournir les informations nécessaires en vue de l avis préalable requis. 2. Généralités 2.1 Tout organe public qui traite des données personnelles est responsable de la protection des données (art. 17 al. 1 Loi du 25 novembre 1994 sur la protection des données, LPrD 1, art. 4 Règlement du 29 juin 1999 sur la sécurité des données personnelles, RSD 2 ). Les informations et les documents publiés sur un site à contrôle d accès peuvent être consultés par un certain nombre de personnes autorisées situées dans ou/et hors du réseau informatique de l Etat/de l organe public. L auteur du site doit en tout temps être conscient que publier des données sur un site à contrôle d accès équivaut à les rendre accessibles largement et à en perdre ainsi une certaine maîtrise sans pour autant être délié de sa responsabilité (art. 17 al. 1 LPrD). 2.2. La diffusion de données personnelles sur un site à contrôle d accès constitue une procédure d appel au sens de l art. 2 al. 1 let. c RSD. L accès à ces données ne peut être accordé que si une disposition légale le prévoit (art. 10 al. 2 LPrD). L organe public doit notamment faire une évaluation des risques (art. 8 RSD), définir les autorisations d accès (art. 10 al. 2 RSD), les authentifications (art. 17 RSD). La procédure d appel doit être documentée dans un règlement d utilisation dont une copie est transmise à l Autorité cantonale de surveillance en matière de protection des données. Pour le contenu, se référer à l art. 21 al. 3 RSD. 1 RSF 17.1 2 RSF 17.15

Page 2 de 6 3. Mesures de sécurité 3.1 En ce qui concerne la sécurité informatique, les systèmes utilisés doivent répondre aux exigences standard de la sécurité informatique (art. 14 al. 1 RSD). Aux termes de l art. 17 al. 1 RSD, l accès aux systèmes informatiques permettant le traitement de données personnelles doit être protégé par un dispositif comprenant une procédure d authentification (identification + mot de passe) et un système de contrôle d accès (autorisations individuelles d accès). D autre part, les directives du 16 décembre 2002 de la Direction des finances du canton de Fribourg sur les mots de passe dans l'utilisation des PC à l'etat de Fribourg comportent les règles suivantes : a) une procédure d authentification comprenant au moins l identification des utilisateurs et utilisatrices et l introduction d un mot de passe de au moins de 7 caractères; b) un changement de mot de passe qui doit avoir lieu régulièrement; c) la complexité des mots de passe doit être suffisante; d) un nombre minimal de changement du mot de passe avant la réutilisation; e) un système de contrôle des accès, fondé sur une définition d autorisation individuelle d accès. 3.2 D autres mesures seront ajoutées selon le degré de sensibilité des données personnelles mises à disposition (par ex. cryptage des données personnelles sensibles, art. 20 RSD). Voici ci-dessous des points exemplaires pour l élaboration de la demande de préavis adressé l Autorité cantonale de surveillance (art. 8 al. 3 de l Ordonnance du 3 mai 2005 relative aux sites internet de l Etat). Il est possible soit d introduire les informations directement dans le document dans les cases utiles, soit de les compiler dans un document indépendant. Au besoin, l Autorité cantonale de surveillance demandera des renseignements complé-mentaires. 4. Informations à fournir pour la demande d avis préalable à l Autorité cantonale de surveillance 4.1. Informations sur le site et les données traitées Nom de l organe public responsable Nom du site But du site Une telle publication est-elle nécessaire à l accomplissement des tâches légales? Quelles en sont

Page 3 de 6 les raisons (art. 5 et 6 LPrD)? Le site à contrôle d accès contient-il des données personnelles? Lesquelles (art. 3 let. a LPrD)? Le site à contrôle d accès contient-il des données sensibles? Lesquelles (art. 3 let. c LPrD)? Les personnes concernées sont-elles informées? Par quel moyen? A quel moment? Le consentement de ces personnes est-il requis (art. 10 LPrD)? Comment? 4.2. Bases légales Existe-t-il des bases légales autorisant le traitement et la publication de telles données? Lesquelles (art. 4 LPrD)? Ces bases légales permettent-elles l accès à ces données au moyen d une procédure d appel en ligne (art. 10 al. 2 LPrD)? 4.3. Responsabilité Nom de la personne en charge du contenu du site Un traitement conjoint de plusieurs organes est-il prévu? Si oui, la répartition des responsabilités a-t-elle été déterminée par écrit (art. 17 al. 2 LPrD et 6 RSD)? 4.4. Autorisation Les personnes autorisées à accéder aux fichiers sont-

Page 4 de 6 elles définies? L étendue de leurs accès est-elle définie (consulter, copier, introduire, modifier, etc.) (art. 10 RSD) 3? En cas de traitement de données sensibles, ces données sont-elles publiées sur le site à contrôle d accès avec l autorisation du responsable dans chaque cas? Ces autorisations sont-elles individuelles? (art. 21 al. 1 RSD) Existe-t-il un engagement écrit des personnes autorisées par lequel elles s engagent à respecter les mesures de sécurité? 4.5. Sécurité Des mesures de sécurité ont-elles été prises? Lesquelles (art. 3 RSD)? A-t-on effectué une analyse des risques (art. 4 al. 2 RSD)? Laquelle? Un règlement d utilisation a-t-il été prévu (art. 21 al. 3 RSD)? Existe-t-il des directives écrites à l attention des personnes autorisées (art. 3 RSD)? Merci de nous fournir le document Est-il prévu de vérifier régulièrement si les mesures de sécurité sont respectées par les utilisateurs (art. 4 al. 3 RSD)? L organe public responsable du contenu du site a-t-il pris les mesures d organisation appropriées contre tout traitement non autorisé des données (art. 22 LPrD)? A-t-il pris les mesures organisationnelles et techniques nécessaires (art. 11 RSD)? Est-il prévu de réévaluer ces mesures (art. 12 RSD)? 3 Exemple de grille dans le Guide à l attention des organes publics concept La protection des données personnelles dans mon service, avril 2006, Préposée à la protection des données du canton de Fribourg.

Page 5 de 6 Le service informatique compétent a-t-il pris les mesures techniques appropriées contre tout traitement non autorisé (art. 3 al. 1 RSD)? Des mesures de cryptage ou de chiffrement sont-elles prévues? 4.6. Conservation des données personnelles - surveillance Quelle est la durée prévue pour le site à contrôle d accès? Si la durée est indéterminée, a-t-on prévu une réévaluation périodique des risques et des mesures (art. 12 RSD)? La conservation, respectivement la destruction des données personnelles est-elle prévue? En cas d archivage informatique, des délais de destruction sont-ils prévus? Qu est-ce qui est détruit? Elimination totale? Aussi les copies de sauvegarde? Une reconstitution des données est-elle possible? Des mesures de contrôle, respectivement de surveillance sont-elles prévues? 4.7. Organismes privés 4 Une procédure par outsourcing est-elle prévue (hébergement du site à contrôle d accès par un organisme privé externe)? Attention. Si tel est le cas, l organisme en question est également soumis à la législation sur la protection des 4 www.fr.ch/sprd sous : pour en savoir plus, mandat (outsourcing)

Page 6 de 6 données (art. 2 al. 1 let. b LPrD). L organe public participe-t-il à un site à contrôle d accès créé par un organisme privé? Attention. Si tel est le cas, l organe public est également soumis à la législation sur la protection des données (art. 2 al. 1 let. a LPrD).

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back