GRANT THORNTON ADVISORY DAYS

Documents pareils
Quelles assurances proposer? Focus sur le cloud computing

Contractualiser la sécurité du cloud computing

Les clauses «sécurité» d'un contrat SaaS

Les clauses sécurité dans un contrat de cloud

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

CONDITIONS GENERALES D UTILISATION DE L APPLICATION LINK MYPEUGEOT 1 - PREAMBULE

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Politique sur l accès aux documents et sur la protection des renseignements personnels

BIG DATA & PROTECTION DES DONNEES DANS LE DOMAINE DE LA SANTE

Charte de l'audit informatique du Groupe

QUESTIONNAIRE Responsabilité Civile

Revue d actualité juridique de la sécurité du Système d information

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Recommandations sur le Cloud computing

La dématérialisation et après

La Révolution Numérique Au Service De l'hôpital de demain JUIN 2013 Strasbourg, FRANCE

Le contrat Cloud : plus simple et plus dangereux

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

Harmonisation comptable et mondialisation Alain B urlaud, Professeur au Conservatoire national des arts et metiers

Le Réseau Social d Entreprise (RSE)

Symantec CyberV Assessment Service

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

Nomenclatures 2008 NAF rév. 2 - CPF rév. 2. Section M Division 70

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

SOS OPPOSITION SUITE A FRAUDE A CARTE BANCAIRE

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité"

Contexte : une infrastructure vieillissante qui n était plus en adéquation avec les besoins actuels et futurs de Swiss Life.

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Extrait Kbis original de moins de trois mois + merci d'indiquer ici : Dirigeant (s) Date de début d'activité / / Raison sociale

Taille d entreprise Moins de 50 salariés 0% De 50 à 250 salariés 40% De 251 à salariés 40% Plus de salariés 20%

Brève étude de la norme ISO/IEC 27003

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

REPUBL QUE FRANCA SE

CATALOGUE Expertise ITIL - ISO Lean IT

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

INTERNET ET e-commerce

METIERS DE L INFORMATIQUE

CHARTE D UTILISATION DE GÉOANJOU : PLATEFORME MUTUALISEE POUR LE PARTAGE

MINISTERE DES TECHNOLOGIES COMMUNICATION CENTRE NATIONAL DE L INFORMATIQUE DE L INFORMATION ET DE LA MANUEL DE MANAGEMENT DE LA QUALITE

Nathalie Métallinos Avocat à la Cour d'appel de Paris

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

Votre Réseau est-il prêt?

Perdu dans la jungle des droits d accès?

Comment protéger ses systèmes d'information légalement et à moindre coût?

La sécurité IT - Une précaution vitale pour votre entreprise

Big Data: les enjeux juridiques

CONFERENCE ESPACE MULTIMEDIA LE MULOT Maurepas, le 23 novembre Dominique DAMO, Avocat

Internet of big data things

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

LA GARANTIE LÉGALE DU VENDEUR

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Conditions générales d abonnement en ligne et d utilisation du site

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

BYOD : Suppression des frontières numériques professionnelles

Test 300. Testez le potentiel Veille de votre entreprise. Ce document a été élaboré à partir du «Test 1000» de Bernard Besson,

CLOUD COMPUTING et Relation Client/Fournisseur Une Révolution culturelle?

AUDIT CONSEIL CERT FORMATION

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

RCS NANTES RÈGLEMENT INTÉRIEUR DU CONSEIL D'ADMINISTRATION

Panorama général des normes et outils d audit. François VERGEZ AFAI

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

Cycle de conférences sur Cloud Computinget Virtualisation. Aspects juridiques du Cloud Computing Blandine Poidevin Avocat

PROFIL PROFESSIONNEL «ASSISTANT COMMERCIAL IMPORT EXPORT»

Virtualisation de postes de travail et d application. Jean-Claude DAUNOIS Senior Systems Engineer VMware

Catalogue des formations 2014 #CYBERSECURITY

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

Projet d'engagements de Henkel dans le cadre d'une procédure de non-contestation de griefs dans les affaires n 06/OOOlF et 06/0042F

Université du Sud-Toulon Var IUT Toulon Var PROGRAMME DE LA FORMATION. Licence Professionnelle Management des Organisations

COMPTES CONSOLIDES IFRS DU GROUPE CNP ASSURANCES au 31 Décembre 2007

CONSEILLER EN INVESTISSEMENTS FINANCIERS. 1. La définition de l activité des CIF

Orientations sur la solvabilité du groupe

Les points clés des contrats Cloud Journée de l AFDIT Cloud Computing : théorie et pratique

Livret 2. Mise à jour février Département Tertiaire

CONDITIONS GENERALES DE VENTE A DISTANCE DES PRODUITS DE TESTS ET DIAGNOSTICS EN LIGNE SUR LE SITE INTERNET BOUTIQUE AFNOR CERTIFICATION

Qu est-ce qu un système d Information? 1

CONDITIONS PARTICULIÈRES FINANCEMENT DU PROJET ARTICLE

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

Droit des contrats spéciaux : distribution, entremise, entreprise, louage

LA QUALITE DU LOGICIEL

Obligation de publication des comptes annuels et consolidés de sociétés étrangères

25 % EXPERTS PAR AN. + de de 35. près de 50 DE CROISSANCE DE L OPEN SOURCE ANNÉES D EXPERIENCE AU SERVICE DE L OPEN SOURCE

LES DROITS DE LA PERSONNALITE

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Les cyber risques sont-ils assurables?

Transcription:

Intervenant(s) Emmanuelle Muller-Schrapp Associée, Finance & IT transformation Nicolas Rémy-Néris Avocat, Correspondant Informatique & Liberté Jean de Laforcade Directeur Associé, Risk management B i e n v e n u e a u x GRANT THORNTON ADVISORY DAYS Jeudi 23 mars 2017 S é c u r i s e r v o t r e C R M e t l a g e s t i o n d e s d o n n é e s p e r s o n n e l l e s F r a u d e e t d i g i t a l m é d i a, q u e l s e n j e u x f a c e a u G R A N T T H O R N TO N A D V I S O RY D AY S r e n f o r c e m e n t d e l a l é g i s l a t i o n?

Présentation du Règlement européen sur la protection des données personnelles (RGPD) n 2016/279 Adoption le 27 avril 2016 et entrée en vigueur le 25 mai 2018 (application directe dans les pays de l'union Européenne aux acteurs privés, publics et aux associations, ainsi qu'à leurs soustraitants) Vocation protéger les personnes résidentes d'un pays de l'ue dont les données personnelles font l'objet d'une collecte et d'un traitement quelles que soient leur localisation (UE ou hors UE) protéger les résidents non-ue pouvant aussi bénéficier d'une protection surlacollecte etles traitements réalisés au sein de l'ue Autorités compétentes le Comité européen de protection des données (CEPD) et la Commission nationale de l'informatique et des libertés (CNIL) au niveau national

Durcissement de la législation 1. en amont de la collecte des données information sur l'usage des données consentement préalable de la personne concernée 2. pendant le traitement licéité du traitement traitement limités aux finalités acceptées par la personne concernée registre des activités des traitements opérés 3. après la collecte droit à la limitation du traitement, droit d'accès, droit de rectification, droit à l'oubli droit à la portabilité des données, droit d'opposition sécurité des traitements notification sous 72h aux personnes concernées et à la CNIL en cas de failles de sécurité

Sanctions Sanctions/alertes Sanction administrative avertissement, mise en demeure, limitation ou arrêt de traitement, suspension des flux, ordre de mise en conformité, ordre de retirer l'agrément/conformité émise par un tiers voire retrait direct maximum de 20 millions d'euros d'amendes ou 4% du CA mondial consolidé. Droit à réparation Réputation et Image pour les personnes lésées (actions de groupe possibles du fait de la "Loi sur la Modernisation de la Justice du 21ème siècle") pour les personnes lésées (actions de groupe possibles du fait de la "Loi sur la Modernisation de la Justice du 21ème siècle") risque accru sur la réputation et l'image (perte de clientèle, chute du cours de bourse, )

Collecte & Traitement de l'information Dans le cadre de la collecte et du traitement de l'information il faut satisfaire de nombreuses exigences et droits : d'accès, de rectification, à l'oubli, à la limitation du traitement, à la portabilité des données, d'opposition, Pour garantir la conformité il faut identifier la donnée collectée et son devenir Quelles sont les questions à se poser? Qui collecte l'information et par quel canal? Quelle forme prend l'output du traitement? Où est-il localisé? Le consentement et l'information nécessaires sont-ils respectés? Qui stocke l'information (où, quel format, quel système, en interne/externe)? Quels sont les transferts opérés au niveau de la donnée collectée? Quels sont les différents traitements opérés et par qui sontils réalisés? Qui utilise cet ouput, à quelle fin et qui d'autre en bénéficie potentiellement? L'accès aux informations respecte-t-elle des protocoles de sécurisation? Combien de temps l'information est-elle ou doit-elle être détenue? L'information relative à cette collecte et traitement est-elle communiquée au CIL/DPD et répertoriée dans le registre des traitements?

Renforcer le contrôle interne autour de la conformité Définir un mode de gouvernance adapté Mettre en œuvre des évaluations à titre de contrôles périodiques en interne ou externe Gouvernance Cartographier tous les traitements ainsi que toutes les parties prenantes concernées Déployer un contrôle interne permanent ciblé Adhérer à des codes de conduite ou préparer des certifications Processus d'évaluation périodique Intégré au niveau de la culture d'entreprises, des processus et des équipes Politiques et procédures Cadrer le fonctionnement cible par des politiques, procédures et contrats Déployer de nouveaux processus mesurables et contrôlables Mesures effectives de sécurisation techniques Sécuriser les Systèmes d'informations Mesures effectives de sécurisation organisationnelles Etre en mesure d'apporter les preuves de conformité attendues à son niveau ainsi qu'au niveau des sous-traitants

Sécuriser les SI - Focus sur la Cyber sécurité Il vous sera impossible de garantir une parfaite sécurité de votre système d'information vis-à-vis d'intrusions par des personnes malintentionnées en interne ou externe. L'intrusion devant être déclarée à l'autorité de contrôle sous 72 heures. Néanmoins, l'absence de mesures de sécurité effectives sera considérée comme une négligence et donc comme un facteur de nature à aggraver la sanction administrative. Quelles diligences apparait-il nécessaire de mettre en œuvre? Un corpus documentaire axé sur la sécurité des SI (politiques, procédures, chartes ) supportant des processus opérationnels Des activités portant sur l'existence : d'une veille relatives aux failles de sécurité d'un processus d'application des correctifs sécurité (OS, SGBD, applications) des tests internes de détection de vulnérabilités (ex : scan de vulnérabilités) La mise en œuvre périodique de tests d'intrusions tant internes qu'externes La réalisation d'audits internes ou externes axés sur la sécurité du SI d'un dispositif de détection d'un incident de sécurité d'une revue de code de sites web, d'applications mobiles

Conformité des sous-traitants - Diligences vis-à-vis des tiers Qui est concerné? Comment se protéger au mieux? Tout prestataire de services impliqués dans la fourniture de solutions (application Saas), l'hébergement (mode Cloud), et la réalisation de traitements en lien avec les données personnelles du client (Big Data) Exemples de prestataires Revoir et enrichir les contrats en vigueur Détenir une clause d'auditabilité pour mener des audits de vérification le cas échéant Intégrer des engagements clairs aux contrats: responsabilité, obligation de mise en conformité, sécurité,, information en cas d'atteinte aux données Imposer de nouveaux indicateurs de SLA (délai pour être prévenu encas d'atteinte aux données...) Disposer d'un confort supplémentaire sur la conformité du prestataire La preuve d'une attestation externe (ex: ISAE 3402, SOC 2 ou 3 avec un focus Privacy) L'obtention de certifications (ISO 27001 Sécurité, ISO 27018 Cloud Privacy)

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back