Skip to main content Skip to search

RGPD

L’écosystème de la publicité ciblée

En attendant la recommandation finale de la Cnil, les modalités pratiques de recueil du consentement » des utilisateurs au dépôt de « cookies et autres traceurs » sur leurs terminaux. Retour sur le projet de recommandation, qui est contesté par les éditeurs et les publicitaires.

Alors que l’adoption du règlement européen « ePrivacy » patine depuis déjà trois ans, certaines « Cnil » européennes – allemande, anglaise, française, espagnole et grecque – ont décidé de prendre les devants en adoptant leurs propres lignes directrices sur les règles attendues en matière de cookies et autres technologies de traçage. En juin 2019 la Cnil a annoncé son plan d’action en matière de publicité ciblée. Au menu : l’adoption de lignes directrices dans une délibération datée du 4 juillet 2019 rappelant les règles de droit applicables en matière de cookies, complétées d’un projet de recommandation publié le 14 janvier dernier précisant les modalités concrètes de recueil du consentement.

Un cadre plus strict et peu pragmatique

Ce projet de recommandation, dont la version finale devrait être adoptée courant avril, a été soumis à consultation publique, laquelle s’est achevée le 25 février avec un taux de participation étonnement très relatif. L’abandon de la poursuite de la navigation comme modalité valide de recueil du consentement – modalité qui prévalait jusqu’alors puisque préconisée dans la recommandation de la Cnil de 2013 – est l’une des annonces phares de la Cnil. En effet le consentement tel que défini dans le règlement général européen sur la protection des données (RGPD) doit être spécifique, éclairé, univoque et libre. Pour satisfaire à ces quatre critères, la Cnil détaille dans ses deux textes ses attentes vis-à-vis des professionnels pour recueillir un consentement valide pour le dépôt et la lecture de cookies. Elle prend néanmoins le soin de préciser, dans son projet de recommandation, que les exemples de modalités pratiques y figurant ne sont ni prescriptifs ni exhaustifs. Les professionnels peuvent donc choisir d’autres modalités, dès lors qu’elles sont conformes aux exigences de qualité du consentement posées par le RGPD. Il est alors surprenant de constater que malgré cette annonce et le délai de grâce de six mois laissé aux sociétés pour se mettre en conformité, la Cnil précise sur son site Internet : que des contrôles seront mis en place six mois après l’adoption de sa recommandation définitive pour en vérifier le respect pratique, et que le respect des règles en matière de cookies est l’un des trois axes prioritaires du plan de contrôle pour 2020 de la Cnil.

Ce projet de recommandation a également été l’occasion pour la Cnil d’insérer, dans chacune des sections, des « bonnes pratiques » qui sont en réalité – et de son propre aveu – des pratiques « permettant d’aller au-delà des exigences légales ». Concernant le premier critère, à savoir le caractère éclairé du consentement, celui-ci s’entend comme la fourniture – au moyen de termes simples et compréhensibles par tous – d’une information sur les différentes finalités pour lesquelles les cookies seront utilisés, les acteurs qui les utiliseront et la portée du consentement. Pour satisfaire ce point, exit les terminologies juridiques ou techniques complexes ou le simple renvoi vers les conditions générales d’utilisation (CGU) : la Cnil attend la fourniture d’une information complète, lisible et mise en évidence au moment du recueil du consentement.

En pratique, cela signifierait une information en deux niveaux.
Dans le premier niveau d’information, il s’agit de mettre à disposition de façon succincte l’identité du ou des responsables du traitement (avec un lien ou un bouton renvoyant à la liste complète des sociétés utilisant les cookies), les finalités des cookies mises en avant dans un intitulé court, accompagné d’un bref descriptif (ainsi que la possibilité d’accéder à une description plus détaillée sur le second niveau via un bouton ou un lien hypertexte), et le droit de retirer son consentement.
Dans le second niveau d’information, accessible via un lien hypertexte ou un bouton depuis le premier niveau d’information, sont attendues deux listes exhaustives : celles sur les responsables de traitement utilisant des cookies et celles des sites web et applications tiers où la navigation des utilisateurs est suivie. Et c’est bien là toute la nouveauté et la complexité des attentes de la Cnil en la matière.

Fini les seuls boutons « Accepter »
De l’avis général, l’écosystème de la publicité ciblée est un système relativement complexe impliquant un nombre considérable d’acteurs. Attendre de l’éditeur d’un site web, la tenue et la mise à jour de ces deux listes et l’obtention d’un nouveau consentement de l’utilisateur en cas d’ajouts de responsables du traitement qualitativement ou quantitativement substantiel semble peu réaliste et laisse par ailleurs à l’appréciation de chacun le caractère substantiel des changements opérés. Toute cette information doit naturellement être fournie aux utilisateurs sans avoir recours à la pratique des cookies walls, reconnue non valide par la Cnil et le Comité européen de la protection des données (CEPD), puisque non compatible avec le caractère libre du consentement. C’est par ailleurs ce qui pousse la Cnil à préciser que l’utilisateur doit avoir la possibilité d’accepter ou de ne pas accepter le dépôt de cookies pour que l’on puisse valablement considérer que son consentement est « libre ».
Pour ce faire, les mêmes modalités techniques et de présentation doivent s’appliquer à la capacité de consentir ou de refuser. Fini donc les boutons « Accepter » mis en évidence et les petits liens « En savoir plus », dont l’identification incertaine était laissée au soin des utilisateurs, lesquels devaient en déduire qu’ils étaient là pour paramétrer ou refuser le dépôt de cookies. Désormais, l’utilisateur devra se voir proposer des boutons identiques pour refuser ou accepter le dépôt de cookies.

Des délibérations et exigences critiquées
Par ailleurs, le consentement et le refus de consentement devront être enregistrés pour une durée identique – de 6 mois d’après la Cnil – de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur, afin de ne pas le pousser par cette pression répétée à accepter par lassitude. Pour répondre au caractère spécifique du consentement, la Cnil exige également qu’il soit possible pour l’utilisateur de consentir de manière granulaire pour chaque finalité distincte. Différentes modalités semblent acceptées par l’autorité de contrôle : soit sur le premier niveau d’information, soit sur le second. Le consentement global – et donc le bouton « Tout accepter » – est toutefois possible à condition : d’avoir présenté toutes les finalités au préalable, de permettre de consentir par finalité, et de proposer également la possibilité de refuser de façon globale. En pratique donc, devraient fleurir des boutons « Tout accepter », « Tout refuser » et « Paramétrer/Personnaliser », de même taille, de même police et mis en évidence de manière identique pour être conforme aux exigences de la Cnil.

Enfin, pour respecter le caractère univoque comme le caractère libre, la Cnil interdit la pratique des cases pré-cochées, des interrupteurs sur la position activée par défaut et l’acceptation des cookies par les CGU, l’objectif étant que l’utilisateur effectue un acte positif pour mieux prendre conscience du choix qu’il réalise. Les attentes de la Cnil sont donc extrêmement exigeantes envers les éditeurs de sites web et d’applications mobiles, d’autant plus que ces deux délibérations – lignes directrices du 4 juillet 2019 et projet de recommandation – sont à l’heure actuelle assez éloignées des pratiques existantes sur le marché. Il n’est dès lors pas étonnant qu’elles aient fait l’objet de vives contestations par les acteurs de l’écosystème : recours devant le Conseil d’Etat déposé le 18 septembre 2019 par neuf grandes associations professionnelles contre les lignes directrices de la Cnil ; tribunes, lettres ouvertes et prises de position (11) du Collectif pour les acteurs du marketing digital (CPA), de l’Udecam (12) et du Geste (13), reprochant à la Cnil de ne pas avoir pris en compte les propositions des représentants exprimées lors de la concertation engagée par la Cnil entre la publication des lignes directrices et l’adoption du projet de recommandation. Outre la contestation des différents acteurs dont le modèle économique s’est construit autour de la publicité ciblée, se pose également la question de la compatibilité de la multiplicité des lignes directrices publiées ces derniers mois par les différentes autorités de contrôles en Europe.

Dans un monde globalisé où Internet est par essence transfrontalier, la publication de lignes directrices aux exigences divergentes par les autorités de contrôle européennes pousse les acteurs désireux de se mettre en conformité à des arbitrages, parfois hasardeux, qui ne sont pas souhaitables. Comme pour justifier le contenu de son projet de recommandation, la Cnil a publié en même temps que ce dernier, les chiffres d’un sondage Ifop dont les résultats sont saisissant de paradoxes. En effet, alors que 70 % des personnes interrogées pensent qu’il est indispensable d’obtenir à chaque fois leur accord au risque d’alourdir leur navigation, 65 % pensent que les demandes d’autorisation de dépôt des cookies ne sont pas efficaces pour protéger leur vie privée. Pire encore : 90 % considèrent qu’en plus de consentir, elles devraient connaître l’identité des entreprises susceptibles de suivre leur navigation sur le Web via des cookies, alors que différents sondages précisent que 89 % d’entre elles ne prennent pas le temps de lire ce à quoi elles consentent en ligne.

Face aux difficultés de mise en œuvre pratique du projet de recommandation de la Cnil, aux impacts significatifs que ses exigences pourraient avoir, le modèle des cookies se retrouve plus largement questionné. Google a annoncé – le même jour de la publication du projet de recommandation de la Cnil – son intention de faire disparaître les cookies tiers de son navigateur Chrome d’ici deux ans en optant pour une « Privacy Sandbox », tout comme l’avaient auparavant annoncé Apple avec Safari et Mozilla avec Firefox. Même Criteo – sous le coup d’une enquête de la Cnil suite à une plainte de Privacy International – tente de rassurer en annonçant avoir des solutions qui fonctionneraient sans cookies (16).

Paramètres des navigateurs et des OS
Dans ce contexte, on peut légitimement s’interroger sur la nécessité d’utiliser de nouveaux outils qui pourraient permettre, à la fois, de répondre aux enjeux du modèle économique de la publicité ciblée et de protéger plus efficacement la vie privée des utilisateurs. Une publicité « mieux » ciblée, alignée sur les préférences choisies et affichées des utilisateurs en amont, via un medium à déterminer, ne serait-elle pas une piste à explorer ? De son côté, dans ses deux textes, la Cnil semble en appeler à la modification des paramètres des navigateurs et des systèmes d’exploitation (OS), afin que ceux-ci permettent aux utilisateurs d’exprimer leurs préférences. Cette solution est fortement critiquée par certains acteurs du fait du « monopole » qu’obtiendrait certains GAFAM avec une telle approche.

Read more

Suis-je concerné·e par le RGPD ?

Vous êtes concerné·e si l’un de vos services, ou un sous-traitant, traite, gère, utilise et/ou dispose de données à caractère personnel.

Et c’est plus fréquent qu’on ne le pense. Quelques exemples ?

  • Le fichier des lecteurs de la bibliothèque communale
  • La liste des abonnés au centre culturel
  • Les enfants inscrits dans les crèches communales ou aux activités extra-scolaires
  • Les dossiers de patients d’une maison médicale ou d’un home
  • Les données conservées électroniquement ou sur papier par les Ressources Humaines
  • La liste des personnes à qui vous envoyez une newsletter électronique ou papier
  • Les coordonnées de candidats à un logement social, à une allocation de remplacement
  • Les données fiscales de demandeurs de primes à l’embellissement des façades ou à l’installation de panneaux solaires
  • Un fichier tableur avec des données extraites
  • Toutes les demandes de citoyen en vertu d’une réglementation (permis d’urbanisme, passeport…)
  • Etc… Dès l’instant où vous récoltez – ou traitez – des données personnelles, vous devez vous conformer à un certain nombre d’obligations. Le GDPR en instaure de nouvelles

Read more

Résumé : un pense-bête en 10 étapes

1. INFORMER ET CONSCIENTISER
Le RGPD, c’est avant tout une gestion des risques : vous devez donc impliquer tous les collaborateurs de votre institution et les conscientiser à cette nouvelle réglementation.

2. REGISTRE DE TRAITEMENT
Etablissez dès maintenant un inventaire des types de données que vos services traitent, comment vous les conservez, avec qui vous les partagez, combien de temps vous les conservez, etc.

3. CHARTE VIE PRIVÉE
Rédigez ce document en y incluant tous les prescrits obligatoires du RGPD ou adaptez le texte si vous en avez déjà un.

4. CONSENTEMENT
Vérifiez que les consentements que vous avez déjà obtenus répondent aux nouvelles exigences du RGPD. A défaut, il vous faudra les redemander ou détruire les données que vous avez récoltées sans vous conformer à la nouvelle législation.

5. DROITS DE LA PERSONNE CONCERNÉE
Vos procédures internes permettent-elles de répondre aux citoyens qui feront usage de leurs droits d’accès, de modification, de suppression, d’effacement, de portabilité… dans le délai prévu par le RGPD ?

6. DATA PROTECTION OFFICER (DPO)
Désignez au plus tôt un délégué à la protection des données. EURGPD peut endosser ce rôle, collaborer ou assister la personne qui assurera cette fonction au sein de votre institution.

7. ENFANTS
Le RGPD octroie une protection particulière aux données relatives aux enfants. L’accord d’un parent ou d’un tuteur est obligatoire pour toutes les données concernant des enfants de moins de 16 ans. Attention donc si vous organisez, directement ou via un sous-traitant, de l’accueil extra-scolaire, des stages sportifs, etc.

8. FUITE DE DONNÉES
Prévoyez d’ores et déjà les procédures (notamment en communication) pour prévenir, détecter et réagir face à des brèches de sécurité, des pertes ou vols de données.
Le délai pour en avertir l’autorité de contrôle est assez court. Et dans certains cas, vous devrez aussi prévenir toutes les personnes concernées.

9. SOUS-TRAITANTS ET CONTRATS EXISTANTS
Répertoriez tous les sous-traitants qui interviennent sur des données à caractère personnel et adaptez les contrats qui vous lient au regard du nouveau règlement.

10. EURGPD, VOTRE PARTENAIRE DE CONFIANCE EN MATIÈRE DE RGPD !
Contactez le pour vous assister dans le plan d’actions à mettre en œuvre au sein de votre organisation.




Read more

Comment Pervasive protège les données avec ISO 27001

Cette étude de cas montre comment la gouvernance informatique a aidé Pervasive Health à obtenir la certification ISO 27001.

Étude de cas sur la santé omniprésente

Le traitement des données de santé sensibles nécessite la mise en œuvre d’une technologie, de normes et de processus rigoureux. Pour Pervasive Health, les choses se passent comme d’habitude, car elles permettent aux entreprises et aux professionnels de la santé de découvrir chaque jour un aperçu de la santé. Pervasive Health a choisi la gouvernance informatique pour sa mise en conformité.

Certification accréditée ISO 27001 pour les opérations américaines et européennes de l’organisation, ce qui en fait la plate-forme la première du genre à atteindre cet objectif.

Contexte

Pervasive Health est une société européenne avec une clientèle mondiale qui fournit la plate-forme révolutionnaire pour la santé, Apervita®. Apervita est puissant et sécurisé, permettant aux entreprises de santé et aux professionnels de la santé de connecter des informations basées sur des diagnostique et des pratiques de santé n’importe où. La plateforme permet aux médecins et aux cliniciens de gagner du temps et de l’argent grâce à un accès rapide et intelligent à une source unifiée d’informations sur les patients.

Les données sont stockées de manière native dans des concepts de santé standard auxquels tout professionnel de la santé sera familier, plutôt que dans des structures de données propriétaires. Tout professionnel de la santé peut créer, publier et partager des informations sur la santé sur la plateforme.

L’équipe de Pervasive Health tire parti de l’expérience de nombreux secteurs de l’industrie, notamment les soins de santé, les télécommunications, la banque, le trading algorithmique et le transport aérien. En conséquence, la plate-forme Apervita est un pur-sang, intégrant les meilleures technologies pour gérer les mégadonnées, la confidentialité, les informations personnelles identifiables (PII), les informations de santé protégées (PHI), HIPAA, l’authentification, les autorisations, les audits, le cryptage des données, évolutivité globale et gestion des opérations unifiées.

Exigences

La nature des données que Pervasive Health traite et protège pour le compte de ses clients fait de la certification ISO 27001 un progrès judicieux en termes de sécurité et de gestion.

Le mantra de Pervasive Health consiste à habiliter les entreprises et les professionnels de la santé à créer et à partager des informations sur la santé afin qu’ils puissent travailler chaque jour. La plateforme Apervita comprend essentiellement un dossier de santé intégré de toutes les données actuelles et historiques sur les patients. Il relie ces données à une puissante communauté, rédigée par les partenaires de la plate-forme. L’approche, intégrée à la plate-forme de la société, libère la valeur des informations sur les patients, en unifiant le parcours du patient dans les établissements de soins, en rassemblant des données cliniques, financières et opérationnelles et en les connectant au marché de la santé.

Processus

Pervasive Health a contacté Data Proof / EuRgpd pour fournir l’assistance en matière de conseil nécessaire à la création d’un système de gestion de l’information conforme à la norme ISO 27001. Cela nécessitait l’identification de toutes les interfaces et dépendances avec des fonctions ou des services ne relevant pas de sa portée, et une réflexion sur la manière dont elles pourraient être traitées. La portée exacte du projet et les objectifs en matière de sécurité de l’information ont conduit à la politique de sécurité de l’information qui ont été déterminés par la direction de Pervasive Health avec le soutien de nos consultants en gouvernance informatique. Cela comprenait l’aide à l’élaboration du cadre d’évaluation des risques requis et des recommandations sur les critères d’acceptation des risques.

Les travaux menés dans le cadre de cette phase d’appui ont également aidé le responsable de la sécurité de l’information de Pervasive Health à développer le profil de l’équipe de projet et l’ébauche d’un plan de travail. Data Proof / Eurgpd a fourni un support de conseil ‘mentor et coach’. Afin de se conformer à la norme ISO 27001 et aux exigences du Centre d’information sur les soins de santé et les services sociaux (anciennement Exigences du NHS Connecting for Health). Une évaluation des risques liés à la sécurité des informations basée sur les actifs a été réalisée. Ceci a été réalisé en menant des entretiens avec les propriétaires d’actifs afin de produire un registre d’actifs, puis en évaluant les risques potentiels pour les actifs. Une fois que les risques ont été identifiés et que les décisions ont été prises sur la manière de les gérer, un plan de traitement des risques complet a été élaboré, ce qui a conduit à l’élaboration d’une déclaration d’applicabilité pour se conformer à la norme.

Pervasive Health disposait déjà de processus internes puissants pour protéger les données; Cependant la norme ISO 27001 les a aidés à prendre en compte tous les risques auxquels ils avaient été confrontés.
La gouvernance informatique a aidé Pervasive Health à créer la documentation ISO 27001 en collaboration avec l’équipe, qui a engagé des ressources pour introduire les contrôles de sécurité.

Rinaldo : «La gouvernance informatique nous a tenus sur la route jusqu’à l’arrivée du vérificateur externe. La formation qu’ils ont fournie Data Proof/EuRgpd était très utile, de même que les modèles de document. Avoir des yeux différents à chaque étape était l’une des raisons pour lesquelles nous nous sommes sentis confiants depuis le début, et le résultat de l’audit final l’a justifié. « 

Aaron fait écho à la confiance de Rinaldo dans l’approche de gouvernance informatique: «La sécurité de l’information est un élément essentiel de notre activité. Nous voulions donc que tous les aspects de notre système ISMS soient corrects. Il est essentiel de faire le lien entre les professionnels de la santé et des informations sur la santé afin d’obtenir les meilleurs résultats possibles tout en minimisant les coûts. À mesure que les informations sur la santé deviennent plus omniprésentes, nous devons garantir l’intégrité des données et des plates-formes qui fournissent ces informations.

Une plate-forme de santé viable doit être conçue autour du principe de confidentialité, d’intégrité et de disponibilité. Grâce à la plate-forme Apervita, les clients et partenaires de Pervasive Health peuvent créer des informations complètes sur les patients, les populations et les performances, et les connecter à leur flux de travail. C’est grâce à la plate-forme de service nouvelle génération de Pervasive et à la confiance de des utlisateurs que la sécurité de l’information fait partie intégrante de notre organisation et de nos processus. « 

Rinaldo a conclu: «Nous recommandons aux fournisseurs de services gérés soucieux de la sécurité d’adopter les meilleures pratiques ISO 27001 et d’obtenir une certification accréditée avec le soutien de cabinet extérieur. Leurs consultants nous ont montré comment intégrer la sécurité de l’information dans nos pratiques à tous les niveaux de l’organisation, afin que notre personnel, nos processus et notre technologie travaillent ensemble pour protéger les dossiers de santé confidentiels de nos partenaires. ”

Résultat
Pervasive Health a passé avec succès la deuxième étape de l’audit ISO 27001 le 19 juillet 2018. En conséquence, l’organisation a été recommandée pour certification par Det Norske Veritas Ltd (DNV).

Prochaines étapes
Pervasive Health entend promouvoir activement sa certification ISO 27001 sur son nouveau site Web et expliquer aux partenaires potentiels pourquoi son approche est rigoureuse et efficace.

«La réponse de nos partenaires a été positive et rassurante», déclare Aaron. Nous prévoyons de saisir davantage d’opportunités commerciales et de croître plus rapidement parce que nous avons adopté une position responsable en matière de sécurité sur un marché naturellement senssible en matière de protection des données personnelles. Pervasive Health est fier d’être une organisation certifiée ISO 27001.

Read more

Cette étude de cas montre comment la gouvernance informatique a aidé Tribal à obtenir la certification ISO 27001.

Étude de cas : Tribal éducation

Tribal avait besoin de se conformer à la norme ISO 27001 pour soutenir la fourniture de services d’apprentissage et de formation de niveau mondial. Leur grande expertise en matière d’éducation et de technologie et leur partenariat collaboratif en ont fait un nom de confiance. Il était donc important d’adopter les meilleures pratiques de sécurité des informations pour correspondre à cette réputation. Les cadres supérieurs responsables de cette opération ont planifié leur système de gestion de la sécurité des informations sur la base d’une évaluation des risques détaillée avec l’aide de consultants en gouvernance informatique chez Data Proof/ EuRgpd.

Le défi consistait à appliquer les contrôles requis identifiés conformément aux meilleures pratiques ISO 27001 sur plusieurs sites au sein d’une entreprise rentable et en pleine expansion, sans ralentir les opérations. Le maintien de la confidentialité, de l’intégrité et de la disponibilité de l’information fait partie du «statu quo».

Contexte

Tribal soutient la fourniture de services d’éducation, d’apprentissage et de formation dans le monde entier. Ils construisent un logiciel de pointe, soutiennent l’apprentissage, les carrières et le développement professionnel des adultes, et fournissent des services d’inspection et d’amélioration de l’éducation, au Royaume-Uni et à l’étranger. Tribal travaille en partenariat avec un large éventail d’organisations, notamment des écoles, des collèges et des universités, des prisons et des services sociaux, des agences gouvernementales et des employeurs de toutes tailles. Avec 1 300 collaborateurs, leurs travaux couvrent les cinq continents à travers le monde.

Mike, directeur technique architecture et conception et Kathryn, gestionnaire de projet, ont été chargés par Tribal’s Board d’obtenir la certification ISO 27001. Les principales motivations du projet étaient d’abord; obtenir un avantage commercial pour le Groupe en promouvant la conformité et en second lieu; améliorer la cybersécurité conformément aux meilleures pratiques ISO 27001 dans ce qui était déjà, grâce à la nature confidentielle des dossiers des clients qu’ils détiennent.

Les produits et services technologiques de Tribal comprennent des logiciels et des services connexes à la pointe du marché destinés à l’éducation, la formation et l’apprentissage. Protéger la confidentialité des groupes et des individus servis par les clients de Tribal à tout moment – p. Ex. les élèves, les apprentis, les prisonniers – devait être la principale préoccupation de l’équipe; à la fois pour respecter leurs obligations morales et les exigences contractuelles des clients, ainsi que pour éviter toute atteinte à la réputation qui pourrait avoir une incidence sur les parties prenantes de Tribal.

Parmi les autres points abordés avec les consultants Data Proof / EuRgpd en gouvernance informatique, notons l’amélioration de l’efficacité organisationnelle, l’intégration de la sécurité informatique dans les processus de gestion du risque d’entreprise (ERM) de Tribal et l’adoption éventuelle de la norme ISO 27001 dans l’ensemble du groupe Tribal.

Processus
Dès le début, l’équipe tribale a bénéficié du soutien de la haute direction. Mike a déclaré: «L’appui sans réserve et l’approbation du conseil d’administration de Tribal pour l’application de la norme ISO 27001 ont constitué une première étape vitale dans la mise en place du système intégré de gestion de la sécurité. En tant qu’organisation, nous n’étions certainement pas des novices en matière de traitement de données sensibles. Cependant, nous savions qu’un projet d’une telle envergure ne pourrait être réalisé qu’en commençant par le haut. La gouvernance informatique au niveau du conseil est indéniablement l’un des composants critiques de la gouvernance d’entreprise. Grâce à cet important projet de sécurité de l’information, Tribal, en tant qu’organisation, a démontré ses capacités. ”

«L’un des avantages de travailler avec des consultants experts Data Proof / E Eu Rgpd est la rapidité avec laquelle nous avons pu organiser nos efforts en fonction de leur connaissance approfondie de la norme. Cela a simplifié le processus en termes de temps passé à assister à des réunions et à des conférences téléphoniques et à échanger des courriers électroniques longs et détaillés.

Client opinion

«En fait, nous avons pu faire l’essentiel de ce qui était nécessaire pour passer à l’étape de l’audit de certification sans recourir à des communications fréquentes, grâce aux excellents plans de déploiement que la gouvernance informatique nous a aidés à construire. Savoir exactement ce que nous devions faire et accomplir aux différentes étapes nous a vraiment aidés à atteindre le niveau requis. Lorsque vous vous engagez dans une démarche de certification ISO 27001, il vous reste beaucoup à faire: découvrir cela par vous-même, à travers des essais et des erreurs.

La manière dont ISO 27001 cadrerait avec les autres disciplines de gestion prises en charge au sein de l’organisation (par exemple, la planification de la continuité des activités conforme à la norme ISO / IEC 22301 / BS 25999) était une considération clé pour l’équipe lors de la phase de cadrage du projet. Mike a déclaré: «Nous avions besoin de voir comment la norme ISO 27001 s’intégrerait dans l’ensemble des processus opérationnels de Tribal. Dans le même temps, nous savions que BCP faisait partie de la norme ISO 27001. Less consultants en gouvernance informatique chez Data Proof / Eu Rgpd ont été en mesure de nous montrer comment intégrer nos approches de normalisation de manière efficace et en temps voulu – en mappant les politiques, procédures, processus et contrôles pertinents. Nous avons senti que nous savions où nous en étions et où nous allions à chaque étape d’ISO 27001.

Les responsables ont tous deux parlé du niveau d’acceptation et du soutien positif des équipes de direction et du personnel de Tribal dans l’ensemble de l’organisation au cours de la planification et de la mise en œuvre du projet.

Résultat
Après 8 mois intensifs de consultation, de conception, de documentation et de mise en œuvre détaillée du projet, le système ISMS de Tribal, conforme à la norme ISO 27001, a été audité par le Bureau Veritas, organisme de certification accrédité UKAS, et recommandé pour la certification.

Outre l’amélioration de la sécurité, l’équipe Tribal a identifié plusieurs autres avantages découlant de la conformité à la norme ISO 27001. Ceux-ci inclus; amélioration de l’efficacité opérationnelle, confiance dans l’adéquation et l’efficacité des politiques / procédures, et application d’un cadre formel à une sécurité déjà stricte afin de garantir à toutes les personnes travaillant avec des données confidentielles que les contrôles en place fonctionnent.

Mike : «Nous avons tous été extrêmement satisfaits du résultat, sachant à quel point il est difficile pour une grande organisation en pleine croissance telle que Tribal Group d’obtenir la conformité à la norme ISO 27001 en moins d’un an. C’est un domaine complexe et nous sommes heureux de pouvoir compter sur l’aide d’experts. »

Prochaines étapes
L’équipe tribale continuera de tester et de développer son système de gestion de l’information, faisant appel au soutien et à l’assistance lorsque cela est nécessaire. Le bureau Veritas se prépare à des audits externes réguliers. Les consultants peuvent être sollicités pour aider à la maintenance.

Read more

Comment la société de communication Appletree est conforme au RGPD

Appletree fournit aux entreprises un support multi-niveaux de guichets vers divers centres de support, notamment des systèmes de gestion des abonnés, des systèmes de facturation automatisés et de traitement des paiements, qui ont évolué grâce au soutien des diffuseurs de premier plan du secteur de la télévision à péage.

Les services de base d’Appletree comprennent la gestion, le traitement, le stockage et le cryptage des données clients, l’activation et la désactivation des services associés à leurs comptes, ainsi que des services de facturation et de traitement des paiements.

Ayant augmenté le volume de ses abonnements au-delà du niveau de transaction requis, la société souhaitait atteindre le plus haut niveau de conformité  en tant que fournisseur de services. Appletree a également décidé de saisir cette opportunité pour renforcer ses références tout en élargissant la passerelle de paiement et le bras de traitement des paiements de l’entreprise.

Read more

GDPR, c’est quoi ? GDPR, c’est l’abréviation anglaise du Règlement Général relatif à la Protection des Données.

C’est un règlement européen qui fixe un nouveau cadre pour la protection et l’échange de données à caractère personnel. Il sera d’application de manière identique, le même jour, dans tous les pays membres de l’Union européenne.

PRINCIPE

La base du GDPR est la protection des citoyens et la trans- parence sur ce qui est fait avec leurs données personnelles. La nouveauté réside dans le concept d’accountability, c’est- à-dire la responsabilisation des organisations qui traitent de telles données.

Elles doivent informer et obtenir le consentement des personnes lorsqu’elles récoltent des données les concernant.

  • Informer via une ‘Charte vie privée’ qui explique, dans un langage clair et compréhensible, quels types de données sont récoltées, à quelles fins, combien de temps elles seront conservées et à qui elles seront éventuellement transmises.
  • Le GDPR maintient le consentement préalable du citoyen, mais ajoute la notion de consentement éclairé et univoque. Il vous faut aussi conserver la preuve de ce consentement car, en cas de plainte, vous devrez prouver à l’autorité de contrôle que vous l’avez obtenu.

Fini donc de se partager des fichiers entre collègues pour envoyer une newsletter ou des invitations à un vernissage.

Qu’est-ce qu’une donnée à caractère personnel ?

Toute information qui permet d’identifier directement ou indirectement une personne physique.

PAR EXEMPLE : nom, prénom, adresse, numéro de téléphone, numéro de compte en banque ou de carte de crédit, numéro de Registre national, adresse IP, plaque d’immatriculation, dossier médical, login et mot de passe, etc.

Read more