RGPD : Comment éviter les sanctions ?

RGPD : Comment éviter les sanctions ? Votre activité professionnelle (privée ou publique) traite régulièrement des données personnelles ? Alors il y a de fortes chances que, comme 78% des PME et TPE interrogés vous ne soyez pas en conformité avec le nouveau Règlement Général sur la Protection des Données (RGPD), qui entrera en vigueur dès le 25 Mai 2018 (selon une étude Oxatis). Ce que vous risquez En gestation depuis 2016, son approbation s’est accélérée suite au scandale Facebook « Cambridge Analytica« , société accusée d’avoir influencé l’opinion des électeurs américains en exploitant leurs données personnelles. Impossible de savoir si une telle affaire aurait pu avoir lieu en France, mais la Commission Nationale Informatique et Libertés (CNIL) ne veut pas prendre de risque : Jusqu’à 5 ans de prison et 300 000 euros d’amendes. Mise en demeure de l’entreprise. Sanction financière (jusqu’à 4% du chiffre d’affaire de votre entreprise). Bloquage temporaire ou définitif du traitement des données. Avertissements. Etc. Les sanctions ne seront pas uniquement du fait de la CNIL, mais de toutes les autorités de protection existantes qui disposent désormais du droit à un recours collectif en cas de transgression. Ces contrôles peuvent avoir lieu dans l’entreprise, sur convocation (dans ce cas le responsables est prévenu huit jours à l’avance) ou à distance. La CNIL, consciente des contraintes d’une mise en conformité, procèdera au « cas par cas » et l’application des sanctions concernera les fautes les plus graves dans un premier temps. Maintenant que vous êtes au courant des risques, voyons ce que cette réglementation change pour vous et comment vous y adapter. Les grands principes L’on nomme « donnée » tout ce qui peut être collecté, enregistré, stocké, transmis, bloqué ou effacé, et permettant d’identifier une personne physique ou morale. La première étape consiste alors à renforcer l’information et la transparence sur l’usage que votre société fait de cette donnée : Informer clairement l’utilisateur « pourquoi et de quelles façons » ses données vont être utilisées. Donner aux utilisateurs le pouvoir d’accepter ou de refuser le consentement. Permettre aux utilisateurs de récupérer le contrôle de toutes leurs données. D’une manière plus générale, toutes les entreprises sont désormais dans l’obligation d’engager ou de former un personnel à la protection des données (le DPD pour Délégués à la Protection des Données), garant de la bonne conformité de votre entreprise. Les changements pour les e-commerçants Premiers à se retrouver sous les projecteurs de la CNIL, les sites marchands sont amenés à traiter plusieurs milliers de données sensibles chaque année. Pour éviter la violation de données trop importantes, plusieurs mesures s’imposent : Ne recueillez que le strict minimum : faites le tri dans les informations qui vous sont indispensables, ne demandez pas l’âge de votre client si cela ne vous est pas utile. L’archivage de la donnée est proscrit (sauf cas contraire défini par la loi) : supprimez toutes les données devenues inutiles pour votre activité. Toutes les données collectées doivent être protégées par votre entreprise et répertoriée dans un « Registre des traitements », régulièrement tenu à jour et éprouvé contre tout risque d’intrusion. En cas de violation, vous avez 72 heures pour avertir la CNIL. En parallèle, les mots de passe devront faire au minimum 12 caractères et comporter : Un chiffre. Un caractère spécial. Une majuscule. Ces mesures signifient par exemple que vos emailings doivent d’abord faire l’objet d’un consentement de la part de votre client. Il ne sera plus possible de recourir... Lire la suite

Découvrir le Cloud Computing

Découvrir le Cloud Computing Qu’est-ce que le Cloud Computing ? Le Cloud est un service mettant à disposition des ressources informatiques via un réseau de télécommunication. Les données d’une entreprise sont externalisées vers un fournisseur externe. Celui-ci les sauvegarde dans des datacenters puis permet à l’utilisateur d’y accéder en ligne. Quel est le principe du Cloud Computing ? Le cloud repose sur cinq caractéristiques essentielles : Disponibilité : avec le cloud, il est possible d’accéder à toutes nos informations quand on veut et où on veut. Cette disponibilité, caractéristique fondamentale, est assurée par le fournisseur de service. Elasticité : la capacité de stockage et la puissance de calcul des machines sont réajustées de façon automatique en fonction des besoins du consommateur. Ouverture : la possibilité de rajouter de nouvelle infrastructure à volonté. Mutualisation : possibilité de regrouper virtuellement la puissance de plusieurs postes physiques en un seul dans le but de réaliser, par exemple, des calculs complexes de façon beaucoup plus rapide. Paiement : le service est facturé à l’utilisateur en fonction de sa consommation.   Quels sont les services offerts par les fournisseurs du Cloud ? 1.       Les services principaux Il existe plusieurs types de modèles, ils concernent l’infrastructure, la plateforme et le logiciel.     Infrastructure (IaaS : Infrastructure as a Service) : c’est le service permettant la plus grande liberté aux utilisateurs mais c’est également le plus complexe à utiliser. Il permet de virtualiser un ordinateur, ce qui donne la possibilité au client d’installer le système d’exploitation qu’il souhaite. Plateforme (PaaS : Platform as a Service) : dans ce service, de plus haut niveau qu le IaaS, l’hébergeur installe lui-même le système d’exploitation et les programmes. C’est lui qui est est également responsable de leur bon fonctionnement. Ce genre de service peut être comparé à un hébergement web, le client paye un abonnement afin d’installer son site web. Logiciel (SaaS : Software as a Service) : ce service met directement à disposition des applications. Cela peut-être un webmail, un hébergement de fichier de fichier en ligne avec une interface web (ex : Dropbox), une suite office en ligne (ex : Google Documents). Dans le cas d’un SaaS, le fournisseur s’occupe de tout, l’utilisateur n’a rien besoin de rien gérer, il partage simplement ses données. Ci-dessous un schéma explicatif des différents types de modèles :     Source du document : wikipedia.org 2.       Les services secondaires Data (DaaS) : Les données appartenant à l’utilisateur sont délocalisées et sécurisée par le fournisseur. Business Process (BPaaS ) : Ce service consiste à confier au   fournisseur   les   processus métier d’une entreprise visant à fabriquer un élément commercialisable. Ce   processus   est   fourni   en   retour   en   tant   que   service   à   d’autres entreprises partenaires dans le but de réaliser le produit fini. Desktop (DtaaS) : Le fournisseur donne accès à un bureau vituel. C’est dans ce bureau que se vérifie la disponibilité de toutes les données quelque soit l’endroit où l’on se trouve. Storage (STaaS) : cela correspond au stockage de données et des fichiers. Les prestataires les hébergent et les mettent à disposition, tout en assurant la sauvegarde et le partage si nécessaire. Exemple : Dropbox , Google Drive, Skydrive. Quels sont les différents types de Cloud Computing ? Il existe quatre types de cloud constitués d’infrastructures spécifiques. Chacun est utilisé  en fonction des besoins de l’entreprise : Cloud public : il est utilisé en majorité par le grand public.  Les principaux fournisseurs de services sont déjà sur le marché (Amazon avec AWS,... Lire la suite