Les normes, la sécurité des informations et le GPDR
INTRODUCTION
Plusieurs disent que le 21e siècle est le siècle de la connaissance. Avec l’utilisation intensive de moyens informatiques, on assiste aussi à un nouveau problème de sécurité des informations par les pirates, au problème d’espionnage industriel incluant nos informations personnelles par les entreprises. Qui n’a pas entendu parler par les médias d’attaques informatiques ou de problème de protection de propriété intellectuelle ou industrielle affectant des milliers de personnes pour leurs cartes bancaires, no de crédit, information de passeport, no d’assurance sociale, et j’en passe.
Quand vous traiter ou communiquer des informations personnelles ou non via le Web, par exemple via une inscription comme lecteurs dans un blogue, le e-learning, les réseaux sociaux, ou pour des transactions d’achat en ligne, certaines considérations et bonnes pratiques doivent être appliquées par les entreprises, mais aussi par chacun de nous.
Je vous propose une certaine sensibilisation en revisitant certaines exigences dans le cadre de l’application des normes de management de la qualité comme ISO9001, AS9100D, ISO27001, et bien d’autres incluant le GPDR.
Définition
La sécurité de l’information est décrite de manière générale par Wikipedia comme « La pratique consistant à empêcher l’accès, l’utilisation, la divulgation, la perturbation, la modification, l’inspection, l’enregistrement ou la destruction non autorisés des informations. C’est un terme général qui peut être utilisé, quelle que soit la forme que les données peuvent prendre (par exemple, électronique, physique) ».
Les Normes
Dans les nouvelles normes, l’approche parle maintenant d’informations documentées sur des médias physiques (document, formulaire, photo, etc.) que virtuel (information électronique, base de données, etc.).
Pour ISO9001, les articles suivants ont un regard direct sur le sujet :
7.1.3 L’organisme doit déterminer, fournir et maintenir l’infrastructure nécessaire à la mise en œuvre de ses processus et à l’obtention de la conformité des produits et services. Les infrastructures peuvent comprendre le matériel informatique et les logiciels, les technologies de l’information et de la communication.
Ce point implique les aspects de la sécurité informatique tels que les mises à niveau des systèmes d’exploitation, des antivirus, pare-feu, etc.
7.5.3.1 Les informations documentées exigées par le système de management de la qualité et par la présente Norme internationale doivent être maîtrisées pour assurer:
- a) qu’elles sont disponibles et conviennent à l’utilisation, quand et là où elles sont nécessaires; b) qu’elles sont convenablement protégées (par exemple de toute perte de confidentialité, utilisation inappropriée ou perte d’intégrité).
Ici, un processus devrait clairement expliquer la gestion des mots de passe unique, le protocole de composition des mots de passe, fréquence de changement automatique, utilisation des tampons, les signatures électroniques cryptées, etc.
7.5.3.2 Pour la maîtrise des informations documentées, l’organisme doit mettre en œuvre les activités suivantes quand elles sont applicables
- distribution, accès, récupération et utilisation
- stockage de protection, y compris la préservation et la lisibilité
- maîtrise des modifications (par exemple le contrôle des versions
- conservation et élimination
Les informations documentées comme preuves de conformités doivent être protégées de toute altération involontaire.
Ce point s’applique à toute les formes de documentation de l’information, soit le papier, document, base de données, etc. Quand les informations sont électroniques, un processus devrait être défini pour les pertes, les dommages physiques, les changements non autorisés, la corruption, etc. Il est souvent question d’avoir en place un processus de sauvegarde des données fiables documenté et d’avoir en place une infrastructure sécuritaire adéquate et testée en cas de désastres (vol, incendie, etc.).
Pour les entreprises qui ont pour objectif de réduire l’utilisation du papier, il est important de mettre en place des politiques de gestion alignée avec les obligations liées aux lois concernant les documents technologiques et les bonnes pratiques pour convertir les documents papier en copie valide PDF, par exemple.
Aussi la norme ISO 27001 impose aux gestionnaires:
- Examiner les risques de sécurité des informations associés à l’organisation, en prenant en compte les vulnérabilités, les menaces et les impacts qu’elles posent.
- De développer et mettre en place un système de contrôle de la sécurité de l’information. Adoptez d’autres formes de traitement des risques pour remédier aux risques découverts. Si cela devient évitement de risque ou transfert de risque.
- De maintenir un processus de gestion efficace pour garantir que le programme continue d’être adapté aux besoins de l’entreprise.
Il est possible de voir que la protection des informations prend de plus en plus d’importance et qu’il est primordial aujourd’hui pour les entreprises d’avoir un programme de sécurité des informations.
LE GPDR n’est pas suffisant
C’est bien d’avoir une réglementation afin de mieux protéger ces informations personnelles, mais si aucune mesure n’est prise incluant les pratiques et les infrastructures TI pour assurer la sécurité des informations, nous allons continuer d’avoir des risques élevés de protection.
Compte tenu du champ d’application étendu de l’accord économique et commercial global entre l’Union Européennes et le Canada ‘CETA’, le règlement GPDR peut effectivement concerner les entreprises et les organisations qui traitent des données à caractères personnels, soit en qualité de responsable de traitement ou de prestataires externe. Même si une organisation n’est pas établie sur le territoire Européen, mais que l’objet est de fournir des biens ou des services ou de suivre leur comportement, les moyens doivent être mis en place pour respecter l’application du GPDR.
Pour le Canada, la Commission européenne a reconnu que la Loi canadienne sur la Protection des renseignements personnels et les documents électroniques assurait un niveau de protection adéquat des données personnels2. Le transfert de données personnelles depuis un état membre de EU vers un destinataire canadien assujetti à cette loi ne nécessite pas de garantie supplémentaire à ce jour, à moins d’indication contraire.
La tendance semble montrer dans les prochaines années que certaines versions de la réglementation GDPR soient bientôt mises en œuvre par d’autres pays, car le traitement de toutes les données à caractère personnel deviendra nécessaire.
Les obligations de GPDR
Les lois applicables au Canada sont :
- Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) C-6
- Loi sur la protection des renseignements personnels S-4_4
- Loi sur la protection des renseignements personnels dans le secteur privé P39.1
Commençons par le principe de la responsabilité
C’est le principe le plus important pour démontrer la conformité avec tous les principes du GDPR basé sur l’approche par les risques par exemple, par la réalisation d’une étude d’impact sur la protection des données (DPIA). En pratique, ce volet devrait être un élément traité à l’exigence 6.1 de ISO9001.
Les entreprises doivent clairement établir les raisons pour obtenir les données, comment elles vont les utiliser, les sécuriser et sur quelle base légale elles en font le traitement.
Cette responsabilité s’applique à tous les membres de l’organisation. L’entreprise est responsable des données obtenues de ses clients et doit tenir compte du droit du client à la vie privée lors du développement de nouveaux produits, services ou de campagnes marketing. La notion de protection des données en conception de logiciel informatique devrait devenir des processus standard et sera nécessaire dans certaines circonstances.
Plus important encore, la reddition de comptes devrait être menée au niveau du conseil d’administration et de la direction.
Quels sont les éléments à mettre en place :
- Identifier un responsable DPD (Délégué à la protection des données) pour le traitement des informations de l’entreprise, renseignements personnels et des sous-traitants.
- Respecter le principe de ‘privacy by design’ qui implique de limiter la quantité de données traitées dès le départ et de protéger les données dès la conception des bases de données (BigData) et de ces applications.
- Documente correctement les procédures prescrites par le règlement générique GDPR.
- Administre la messagerie du consentement du client.
- Assure le stockage des données de sécurité et renforce autant que possible la réputation de conformité.
- Démontrer la conformité au règlement en tout temps. Quand vous devez traiter des données sensibles et personnelles, il est important de s’assurer que seulement les informations nécessaires aux activités sont conservées.
- La réalisation d’une étude d’impact sur la protection des données (DPIA) et un registre des traitements. Le partage et l’utilisation de données doivent être préalablement autorisés par la personne.
- Adopter un plan de protection des données: de surveillance active des vulnérabilités du réseau à un plan de notification d’urgence en cas de faille, votre entreprise doit décrire ces procédures de données d’urgence le plus rapidement possible.
- Modèle de recueil de consentement des personnes concernées clair et explicite incluant le droit à l’oubli, à la portabilité des données, de s’opposer au traitement et au profilage et d’être informé en cas de piratage de ses données.
- Renforcez vos certifications: des certifications en matière de sécurité de l’information, d’infrastructure et de gestion des données.
Le GDPR doit plutôt être un catalyseur pour créer et innover des modèles d’entreprise axés sur les personnes de cette quatrième révolution industrielle alimentée par les données et la technologie.
Les entreprises qui font de la protection des données une valeur fondamentale dans les années à venir vont s’épanouir et être moins sensibles aux menaces externes.
Un certain nombre d’outils de conformité à mettre en place sont proposés peuvent aider à réduire les risques d’atteinte à la vie privée et assurer la démonstration de protection des informations.
Ceux-ci comprennent:
- Protection de la vie privée dès la conception
- Évaluation des facteurs relatifs à la vie privée
- Notification de violation
- Agents de protection des données
- Sécurité des données
- Mécanisme de certification/acceptation lors d’inscription ou de modification de la politique.
- Adhésion à des codes de conduite et de confidentialité
Quelques Trucs de base
Cas des courriels.
Si vous communiquez des courriels contenant des données personnelles, il est possible de continuer de le faire, mais seulement sûr des serveurs protégés et privés.
Certaines pratiques doivent être prises en comptes :
- Limiter le nombre de personnes en contact avec un courriel. Est-il absolument nécessaire de mettre en copie d’autres personnes.
- Quand un patron vous demande d’être en copie de vos courriels, est-ce une pratique nécessaire.
Si vous utilisez des plateformes tels que Messager, Gmail, etc. Assurez-vous de bien protéger vos courriels s’ils contiennent des informations personnelles.
Sauvegarde des données
Les données personnelles ne peuvent pas être stockées dans des systèmes non sécurisés tels que Google Documents, Boîte aux lettres, Relié, Survey Monkey, Source Forge, Adobe Cloud, Slideshare, High tail, etc.
Si vous disposez actuellement de données personnelles sur des systèmes non sécurisés, déplacez-les vers un emplacement sécurisé dès que possible.
Les données personnelles ne peuvent pas être stockées sur le lecteur local d’un ordinateur personnel, tel qu’un PC, une tablette, un téléphone, etc. mais plutôt sur un autre lecteur ou dans un système informatique sécurisé.
Média amovible
Si possible, ne téléchargez pas de données personnelles sur un support amovible tel qu’une clé USB, mais partagez-les à l’aide d’un système informatique sécurisé. Toutefois, si les données personnelles doivent être téléchargées sur un support amovible, elles doivent être cryptées sur le support amovible à l’aide d’un mot de passe.
Conclusion
Les organisations doivent mettre en place des moyens et des programmes de formation, des politiques et des audits internes, afin de s’assurer qu’ils disposent des preuves nécessaires pour justifier la conformité au normes et au GPDR, mais aussi pour réduire les risques de sécurité de l’information. Avant tout, des précautions s’appliquent autant dans les entreprises que par nous même dans la protection des informations sans quoi, il sera difficile de réduire ce risque. Aussi, ce milieu change vite et il est important de se tenir important des bonnes pratiques.
RÉFÉRENCES
- https://lesjuristes.ca/fr/gdpr-canada/
- Décision d’adéquation 2002/2/EC du 20 décembre 2001 modifiée par la décision d’exécution (EU) 2016/2295.
- The impact of GDPR, NQA Blog, January 2019
- ISO27001 vs GDPR mapping, NQA Blog, November 2019
- GPDR-The Story So far…, NQA Blog, August 2018
- Coundown to GPDR, NQA Blog, April 2018
- Chris Smith, Q&A from the recent GDPR/ISO27001 Webinar, NQA Blog November 2017 and mapping table of GDPR vs ISO27001
- Trousse d’outils en matière de vie privée, Guide à l’intention des entreprises et des organisations, Commissariat à la protection de la vie privée Canada
- Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96