Fiche pratique @CCIFrance pour comprendre le Règlement Général sur la Protection des Données #RGPD

cyber-securite

RGPD : Toutes les entreprises qui possèdent des fichiers contenant des données à caractère personnel sont concernées.

Le règlement n°2016/679 du 14 avril 2016, dit règlement général sur la protection des données (RGPD) constitue le nouveau texte de référence européen en matière de protection des données personnelles. ll remplace la directive adoptée en 1995 qui a donné lieu à des différences d’interprétation et renforce la protection des données pour les individus au sein de l’UE. Il est d’application directe sur tout le territoire de l’Union et entrera en vigueur le 25 mai 2018. Toutes les entreprises sont concernées dès lors qu’elles possèdent des fichiers contenant des données à caractère personnel de résidents européens quelle que soit leur nationalité.

Quel est l’objet du RGPD ?

Le RGPD vise à créer pour l’UE un cadre renforcé et harmonisé de la protection des données  tenant compte des récentes évolutions technologiques (Big Data, cloud computing, objets connectés, Intelligence Artificielle, …) et des défis qui accompagnent ces évolutions.

L’individu est placé au cœur du dispositif légal en renforçant ses droits (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, …).

En parallèle les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services sont   sont amplifiés.

Ces contraintes s’appuient notamment sur les principes de « Privacy by Design » et « d’accountability » (voir lexique en bas de page). Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.

« Le RGPD vu par le youtubeur Cookie connecté » réalisée avec la CNIL

Quels sont les principales mesures du RGPD ?

  • Réalisation d’une analyse d’impact avant la mise en place d’un traitement de données
  • Consentement clair et explicite à la collecte des données
  • Accès facilité de la personne à ses données (Droit à l’oubli – Droit de portabilité)
  • Notification des violations de données personnelles (« Data Breach Notification »)
  • La création et la maintenance d’un registre des traitements devient obligatoire
  • Création des délégués à la protection des données (DPD ou DPO, Data Protection Officer) dans certains cas : organismes publics, organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, …
  • Transfert des données soumis à vérification
  • Restriction du profilage automatisé servant de base à une décision
  • Aggravation des sanctions (de 10 à 20 M€ ou de 2 à 4% du CA annuel mondial)

Quelles sont les actions à enclencher dans l’entreprise ?

Se mettre en conformité avec le RGPD suppose de définir au niveau de l’entreprise une Gouvernance de la Data. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre d’éventuelles sanctions :

  • Désigner un Délégué à la protection des données (DPD ou DPO, Data Protection Officer))
  • Cartographier les traitements actuels et déterminer leurs finalités ainsi que leur durée
  • Créer un registre des activités de traitement
  • Revoir les contrats de sous-traitance informatique et de gestion des données, les sous-traitants devant faire la démonstration de la conformité au RGPD de leurs solutions
  • Assurer la transparence et l’information des personnes dont les données vont faire l’objet d’un traitement (consentement clairement obtenu), les informer d’incidents de traitement
  • Notifier à la CNIL dans les 72h la survenance d’une faille ou intrusion
  • Regrouper la documentation nécessaire pour démontrer la conformité au règlement
  • Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.)
  • Réaliser des études d’impact.

Lexique

Qu’est-ce qu’une donnée personnelle traitée ? Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, adresse mail, n° d’identification, localisation, IP, adresse, données de santé, revenus, centres d’intérêts etc.).

Traitements de données : toutes les opérations portant sur les données personnelles informatisées ou non (collecte, utilisation, diffusion, conservation, consultation effacement etc.).

Accountability : elle est défini par la CNIL comme « l’obligation pour les entreprises de mettre en oeuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». l’accountability est au coeur du RGPD.

Privacy by Design : Suivant une logique de responsabilisation, chaque acteur doit désormais s’assurer de la conformité des traitements qu’il envisage de mettre en oeuvre dès le moment de leur conception. Cela implique la mise en œuvre de mesures organisationnelles et techniques spécifiques et d’associer notamment le DPO (Délégués à la protection des données / Data Protection Officer) à chaque stade de conception d’un nouveau service.

Ressources utiles

Publicités

[Retour sur l’atelier] Propriété industrielle et marques sur Internet : saisir les opportunités marketing et gérer les risques

PI et Marques sur Internet - saisir les opportunités marketing et gérer les risques 07 11 2017

Le 7 novembre dernier le Pôle Numérique de la CCI Bordeaux Gironde a organisé un atelier sur la propriété industrielle et les marques sur Internet, animé par Jean-François Poussard de la société SolidNames.

Des centaines de nouvelles extensions de noms de domaines internet (TLD) sont aujourd’hui disponibles : géographiques, business, commerce, loisir, style de vie, technologiques …. Ce sont autant d’opportunités marketing pour mieux promouvoir son activité ou aborder de nouveaux marchés mais aussi de nouvelles menaces pour les marques et la propriété industrielle des entreprises.

  • Comment définir et gérer sa stratégie de noms de domaines ?
  • Comment éviter des différentes formes de cybersquatting spéculatif ?
  • Comment lutter contre la vente de produits contrefaits ?

La cybercriminalité explose.

  • Comment se prémunir contre le détournement de trafic ?
  • L’usurpation d’identité, le phishing ?
  • La « fraude au président »?
  • mais aussi plus généralement gérer sa e-réputation ?

 

#cybersécurité Cybermalveillance.gouv.fr : référencement des prestataires et expérimentation dans les Hauts-de-France

cybermalveillance ecran

Un site dédié à l’assistance aux victimes d’actes de cybermalveillance

Le gouvernement a lancé Cybermalveillance.gouv.fr un dispositif national d’assistance aux victimes d’actes de cybercriminalité qui propose deux parcours, un premier pour les victimes d’actes de cybermalveillance et un second pour les prestataires de services de proximité :

  • Les victimes seront mises en relation avec des prestataires de proximité susceptibles de les assister grâce à un parcours permettant d’identifier la nature de l’incident.
  • Les prestataires de toute la France souhaitant proposer leurs services peuvent d’ores et déjà s’enregistrer sur la plate-forme.

Ce service vise notamment à accueillir les victimes (particuliers, entreprises et collectivités territoriales) par le biais d’une plateforme numérique, et à les diriger vers les prestataires de proximité susceptibles de les assister techniquement. Un espace dédié à la sensibilisation des enjeux de la protection de la vie privée numérique est également accessible aux internautes. À terme, des campagnes de prévention seront lancées à l’échelle nationale. Grâce au recueil de nombreuses statistiques, un observatoire sera créé en vue d’anticiper le risque numérique.

Prestataires de la cybersécurité faites vous référencer

Démarche d’intérêt public, le référencement des prestataires tout comme l’accès à la plateforme pour les victimes sont gratuits. Pour les prestataires, être référencé sur la plateforme Cybermalveillance.gouv.fr c’est :

  • Rejoindre une communauté de compétences ;
  • Contribuer à l’élévation du niveau de sécurité du numérique en France ;
  • Accéder aux informations fournies par le dispositif ;
  • S’engager pour améliorer la prévention et l’assistance aux victimes d’actes de cybermalveillance.

Tous les prestataires concernés peuvent dès aujourd’hui faire une demande de référencement en ligne sur le site Cybermalveillance.gouv.fr après avoir accepté la charte les engageant notamment à respecter les bonnes pratiques commerciales et à remonter les incidents informatiques et les codes malveillants. Le référencement est dès à présent ouvert aux prestataires sur l’ensemble du territoire national.

Expérimentation en Région Hauts-de-France

Concernant les victimes d’actes de cybermalveillance, une phase expérimentale en Hauts-de-France est lancée sur Cybermalveillance.gouv.fr de juin à octobre 2017. Le choix par l’Etat des Hauts-de-France pour l’expérimentation est dû au fait que cette région était représentative du territoire national par la diversité du taux d’urbanisation de ses départements et par l’implication des acteurs locaux dans la sécurité du numérique. Seules les victimes des Hauts-de-France ont donc pour l’instant accès au service.

Pour aller plus loin

cybermalveillance logo

Mois d’octobre sur la « CyberSécurité » à la CCI Bordeaux Gironde

 

#Cybersécurité : risques liés à l’hébergement des données dans les #datacenters et le #cloud

DGSI - DZSI - Ingerence economique n35

La DGSI vient de diffuser son « Flash Ingérence Économique n°35 » portant sur « les risques liés à l’hébergement des données dans les data centers et le cloud ». Ce document a vocation d’apporter des témoignages, ainsi qu’un certain nombre de réponses et de parades.

Les risques liés à l’hébergement des données dans les data centers et le cloud

L’augmentation constante de la masse des données hébergées à l’aide des techniques d’informatique en nuage(1) représente un enjeu majeur pour la sécurité des informations sensibles des entreprises.

En effet, les données hébergées dans le nuage sont traitées au sein de centres de données(2) dont la maîtrise par le client est limitée et essentiellement d’ordre contractuel. En particulier, la connaissance de la localisation exacte des données est difficile, celles-ci étant réparties entre plusieurs centres géographiquement distincts (pour des questions de résilience notamment) et faisant l’objet de transferts à des fins de rationalisation et d’optimisation des flux de données.

Ces services permettent aux entreprises de bénéficier de solutions d’hébergement ou de traitement de données souples, évolutives, faciles d’emploi et accessibles en tout point du globe.

Cette forme avancée de sous-traitance de la gestion des systèmes d’information induit en contrepartie d’importants risques pour la sécurité des données des entreprises, françaises en l’espèce. Ces données sont en effet susceptibles de faire l’objet d’interceptions ou de captations, à tout moment de leur cycle de vie (au cours de leur acheminement sur Internet, durant leur stockage sur des serveurs à distance, lors du transfert au sein d’un autre centre de données, etc.).

Or, les serveurs situés à l’étranger et notamment ceux des centres de données, sont soumis à la réglementation des États qui les hébergent. Les législations de la plupart des pays prévoient ainsi la possibilité, pour les services de police et de sécurité, d’accéder aux données hébergées sur leur territoire. Par ailleurs, certaines autorités peuvent parfois invoquer un motif de sécurité nationale, ou d’autres impératifs d’ordre public, pour justifier l’accès aux données des clients des prestataires. En effet, certains États, grâce à un cadre juridique adapté et à une définition large des enjeux relevant de la sécurité nationale, peuvent enjoindre les prestataires de leur nationalité, même localisés dans un autre pays, de transmettre des données concernant des clients étrangers.

1er exemple

Un prestataire extra-européen d’hébergement de données a refusé de transmettre à son gouvernement des courriels hébergés sur ses serveurs situés à l’étranger. Si une décision de justice lui a donné raison, cette jurisprudence demeure fragile et d’autres prestataires ont pu se voir contraints de transmettre à leurs autorités des emails stockés en dehors de leur territoire national.

Ainsi, certains pays, qui ont fait de l’économie un enjeu majeur pour leur sécurité nationale, utilisent ces instruments légaux pour collecter des informations relevant de cette sphère d’activité.

2ème exemple

Une société française spécialisée dans la pharmaceutique vétérinaire a choisi d’externaliser le stockage de ses données vers une solution de cloud gratuite d’un prestataire étranger.

Il a alors été constaté que l’hébergeur de données étranger était soumis à une législation différente, plus souple en matière de collecte de renseignements. Cette entreprise française comptant par ailleurs parmi ses concurrents plusieurs groupes de la nationalité de l’hébergeur, la société tricolore s’expose ainsi à un risque accru d’espionnage économique de ses données stratégiques.

Commentaires

Les risques de l’hébergement de type cloud dans des centres de données restent encore largement sous-estimés. Nombreuses sont les sociétés persuadées que les interceptions/captations de données par des puissances étatiques s’inscrivent exclusivement dans le cadre de la lutte contre le terrorisme ou la criminalité organisée. Elles ne se considèrent ainsi pas menacées par le risque de captation de leurs données stratégiques hébergées dans le cloud.

Par ailleurs, les solutions de stockage ou de traitement des données à l’étranger sont parfois considérées comme offrant un plus haut niveau de sécurité et des services plus performants que les solutions nationales. Certains prestataires étrangers proposent à cet égard des fonctionnalités avancées, très prisées des entreprises qui se développent à l’international, et à un moindre coût.

En outre, pour rassurer leurs clients face à la portée extraterritoriale de certaines législations, et plus largement aux risques d’interception de leurs données par des gouvernements étrangers, certains prestataires extra-européens ont décidé de confier la gestion de leurs centres de données à des groupes européens. Cette solution apparaît toutefois insuffisante pour garantir la protection des données hébergées. En effet, même si les centres de données sont exploités par des opérateurs européens, des entreprises non-européennes conservent régulièrement la maîtrise de l’architecture matérielle et logicielle des installations.

Préconisations de la DGSI

Face au risque d’interception et aux pratiques de certains prestataires, la DGSI émet les préconisations suivantes pour tenter de limiter les risques de captation du patrimoine informationnel des entreprises utilisant les datas centers / le cloud :

  • S’agissant des centres de données localisés sur le territoire national, veiller à accorder une attention particulière aux conditions générales de vente et d’utilisation. Il convient, pour les entreprises, de s’assurer que le contrat ne permet pas le transfert des données hébergées en France vers un pays tiers.
  • Préférer des prestataires français, ou à défaut européens, dont les serveurs sont situés dans l’Hexagone ou dans un pays membre de l’Union européenne.
  • Bannir l’utilisation des services, gratuits ou non, d’hébergement dans le cloud, autorisant l’accès aux données hébergées à des fins publicitaires.
  • Distinguer le traitement des données non sensibles, stockables dans le cloud, des informations à forte valeur ajoutée économique, stratégique ou financière, à conserver dans des infrastructures internes à l’entreprise.
  • Procéder systématiquement au chiffrement de l’ensemble des données transférées sur un service d’hébergement à distance. Ce chiffrement doit être effectué par l’entreprise elle-même et non par ses prestataires, ou via les outils de ces derniers.
  • Limiter les droits des utilisateurs des services dans le nuage, ne pas utiliser de compte administrateur pour les tâches quotidiennes, surveiller les logs de connexion et assurer une gestion rigoureuse des droits d’accès pour éviter toute usurpation d’identité.
  • Procéder à un audit des infrastructures techniques hébergeant les données de l’entreprise et s’assurer du respect des stipulations contractuelles.
  • Contacter la DGSI en cas de découverte ou de suspicion d’un cas d’ingérence ou d’interception de données.

Equipe Sécurité Économique
Direction Zonale de la Sécurité Intérieure (DZSI) à Bordeaux
securite-eco-bordeaux@interieur.gouv.fr

Notes :

1 L’information en nuage ou cloud computing se définit comme un « mode de traitement des données d’un client, dont l’exploitation s’effectue par l’Internet, sous la forme de services fournis par un prestataire », même si des solutions de cloud privé, au sein desquels les données ne transitent qu’à travers le réseau d’un opérateur de télécommunication, peuvent être mises en œuvre.

2 Un centre de données ou data center est un centre d’hébergement et de traitement de données à distance pour les entreprises et les administrations, abritant un nombre important de serveurs et d’équipements informatiques tout en fournissant une sécurité physique et une continuité d’activité.

Source

Guide et formation : Gestion de l’obsolescence des composants électroniques | @captronic_

composants electroniques - cc ObscuraDK - flickr

Guide et auto-évaluation PRECONOB

Le guide PRECONOB pour PREvention de la CONtrefaçon et de l’OBsolescence des composants électroniques est disponible !

A la fois outil de diagnostic et guide de bonnes pratiques, ce dispositif a été élaboré par un groupe d’entreprises (Actia, Airbus, Airod technologies, Cap’Tronic, Delair-Tech, Eca, Ethicalys, Serma technologies, Sterela, Studelec, TDM, Vodéa) dans le cadre d’une action collective conduite par le pôle Aerospace Valley et soutenu par l’Etat et la Région Occitanie/ Pyrénées-Méditerranée.

Procédez à votre auto-évaluation et identifiez les risques en matière d’obsolescence en vous connectant ici.

Formation Captronic 17 et 18 octobre à Pessac

Complément de l’auto-évaluation, la formation « Gestion de l’obsolescence des composants électroniques – Assurez la pérennité de vos équipements ! » les 17 et 18 octobre à Pessac vous permettra une meilleure gestion des composants électroniques et une prévention de la contrefaçon.

Contact

Thierry ROUBEIX – roubeix@captronic.fr – 05 57 02 09 62

CAPTRONIC – Région Aquitaine –
Parc d’activités Georges Petit
43-47 rue Marcel SEMBAT
33130 BEGLES

Crédit Photo ObscuraDK

#blockchain pour les entreprises : soyez curieux !

livre-blanc-BCG-MEDEF-Blockchain2017

La « Blockchain » : buzzword ou technologie d’avenir ?

Le sujet est d’actualité à en croire la multiplication des manifestations sur cette thématique (yc récemment sur Bordeaux, à l’occasion des trajectoires libres d’Aquinetic ou de Keyrus / IBM ).

L’émergence de projets d’entreprises de Nouvelle Aquitaine exploitant la technologie « BlockChain » a commencé à transparaître en 2016 à l’occasion de la communication officielle sur les projets aidés dans le cadre de l’AAP « Prototypage numérique » (Scub / Blockchain Inspector).

Digital Aquitaine a annoncé le 23 mai 2017 dernier la création d’une plateforme « BlockChain Aquitaine » coordonnée par le CATIE (Centre Aquitain des Technologies de l’Information et Electroniques) et de nombreux projets (plus ou moins avancés).

La blockchain pour les entreprises : soyez curieux !

A l’occasion du BizHackathon qui s’est tenu les 6-7 juin 2017, le BCG (Boston Consulting Group), a présenté un Livre Blanc réalisé en partenariat avec le MEDEF (qui a annoncé en mars 2016 un groupe de travail sur la blockchain), le CIGREF, BeMyApp, Emlyon business school, Blockchain Partner et Platinion. Ce document intitulé « La blockchain pour les entreprises : soyez curieux ! comprendre et expérimenter » et qui intègre des travaux de BCG Perspectives, une recherche du Boston Consulting Group et un sondage réalisé par le MEDEF en mai 2017, encourage les entreprises à mieux connaître / explorer les possibilités et lancer des expérimentations.

 

 

 

Répondre aux enjeux de l’ #innovation #disruptive et #IntelligenceArtificielle

NAO ALDEBARAN ROBOTICS

Répondre à l’innovation disruptive

Le numérique et les technologies émergentes désignée par l’acronyme « NBIC » (Nanotechnologies, biotechnologies, informatique et sciences cognitives) sont à l’origine d’une vague d’innovations qui viennent bouleverser l’économie de nombreux secteurs d’activité (« uberisation ») et créer de nouveaux marchés.

Dans un rapport paru en janvier 2017, France Stratégie prend la mesure des enjeux de ces « innovations disruptives » pour définir la posture que doit adopter l’État pour éviter un comportement attentiste qui aurait un coût économique et social considérable et pourrait conduire à une perte de souveraineté.

Anticiper les impacts économiques et sociaux de l’intelligence artificielle

L’intelligence artificielle (IA) est un sujet « brûlant » d’actualité : elle bénéficie d’une dynamique, d’un momentum, qui cristallisent les attentions et les énergies. Il faut donc agir maintenant pour en tirer parti.

//platform.twitter.com/widgets.js

Dans un rapport paru en mars 2017, France Stratégie présente des pistes pour anticiper les impacts économiques et sociaux autours de 3 axes :

  • importance de la maîtrise / exploitation des données et protection de la vie privée car l’intelligence artificielle requiert de gros volumes de données qualifiées pour les algorithmes d’apprentissage (machine learning)
  • une intelligence artificielle au service de l’humain: la machine doit rester un outil pour accomplir des tâches plus rapidement ou enrichir la capacité de diagnostic de spécialistes (ingénieurs, médecins, …)
  • et enfin la méthode pour permettre l’appropriation de la technologie et le développement de nouvelles compétences au travers de la formation : pour la conception des algorithmes ou dans l’exploitation des outils numériques.