rgpd les cyberattaques

Et si nous parlions simplement du RGPD

Le RGPD, le Règlement Général sur la Protection des Données, c’est pour bientôt. Venez parler du RGPD lors du Webinar iTtrust Community, le 28 février.

RGPD – Fuite de données, vol, perte… les informations laissées sur la toile par les internautes sont malmenées, triturées, volées, perdues, piratées. Il suffit de taper certains mots clé rien que dans Google pour commencer à comprendre le problème.

Le 28 janvier 2017 se tenait la journée mondiale de la protection des données. Une journée marketing qui est passée totalement inaperçue pour le grand public et pour la grande majorité des entreprises. Il va falloir changer de ton, de comportement et de réflexion. D’autant qu’il ne reste plus qu’un an pour se préparer à la mise en conformité avec le nouveau Règlement Général sur la Protection des Données à caractère personnel (RGPD).

RGPD : Parlons-en

Le RGPD sera mis en valeur, le 28 février, lors du second Webminar Itrust Community et ZATAZ. Pour rappel, dès le mois de mai 2018, entreprises, associations et les organismes publics devront être au taquet face à la RGPD. Depuis plus de 20 ans, ZATAZ rêvait de cette loi. Sa mission, protéger la vie privée des internautes. Des données perdues, volées, piratées, modifiées… devront être référencées et notifiées. Les entreprises devront alerter les autorités, la CNIL en tête, et les personnes ciblées. Dites-vous que ZATAZ sera au taquet sur la moindre fuite. Notre partenariat avec la CNIL ne sera que plus efficace pour protéger les internautes.

Lors du Webinar Itrust Community & ZATAZ je reviendrai sur les dernières fuites de données qui sont restées discrètes aux yeux des personnes ciblées. Bilan, le fait de se faire voler son identité numérique sur la toile, via une base de données mal protégée, est dramatique pour les internautes impactés.

Itrust reviendra de son côté sur la RGPD et les règles que les entreprises vont devoir suivre à la lettre si ces dernières ne veulent pas se retrouver avec une amende substantielle à payer et être obligée de notifier la perte des données des utilisateurs via un recommandé avec accusé de réception. Je vous laisse calculer le montant de cette « option ». Nombre de clients impactés multiplié par 9€. Et ici, je ne parle que du courrier. Je vous laisse rêver au montant global si au courrier vous rajoutez le temps de travail des juristes, de l’avocat, de votre équipe technique et de la perte de confiance des internautes alertés.

Bref, si vous ne souhaitez pas voir débarquer la CNIl, et/ou ZATAZ, n’attendez pas le début d’année 2018 pour vous pencher sur ce problème.

Quelques conseils à suivre

Le RGPD et la protection des données caractère personnel doivent être votre priorité dès maintenant. D’abord, ne collecter que ce qui est vraiment utile. Rappelez-vous qu’un pirate ne volera que ce qu’il trouvera. Éduquer votre personnel, comme vos clients/patients/utilisateurs. Pour ces derniers, les informer sur vos actions réalisées : protection, durée de conservation… Pour votre personnel, assurez-vous qu’il a bien compris les grands points du RGPD. Vos employés ont-ils saisi les mesures mises en place pour protéger leurs informations ? Celles de leurs clients/patients/administrés ? Bref, de notre comportement dépend aussi la sécurité des données que nous manipulons : chiffrement, mot de passe… Clé USB, carnet, ordinateur portable… se protègent, se contrôlent, se références.

Je vis trop de négligences car DRH et autres directions se sentent obligées de « jargonner », de produire des contenus explicatifs bourrés de « vocabulaires » juridiques imbuvables, donc mis à l’écart, volontairement ou non, par le lecteur des recommandations. La RGPD est complexe, l’aide d’un juriste/avocat est dans tous les cas obligatoire. ZATAZ en connaît plusieurs, dont Maître Rault sur Lille. N’hésitez pas à me demander des contacts dans votre région, je me ferai un plaisir de vous mettre en relation.

Pour finir, ne jamais oublier que l’ensemble des données de l’entreprise ne doivent pas être accessibles à l’ensemble du personnel. Bien définir et analyser la fiche de poste. Les données accessibles sont-elles en adéquations avec la mission.

N’oubliez JAMAIS que lire des données à caractère personnel alors que le lecteur n’a pas été habilité/autorisé à le faire est déjà une violation du RGPD.

  1. alcant Reply

    Dans le public on a ni de moyen financier, ni de moyen humain pour appliquer les directives ZRR, PPST, PSSI, RGPD.

    Pour les appliquer donnez nous des budgets !

  2. MobiSerge Reply

    Bonjour,

    le budget est un faux problème, ça ne doit pas servir de prétexte pour ne rien faire.

    Choisir des bons mots de passe, les varier selon les usages, ne pas cliquer sur n’importe quel lien ou pièce jointe, voilà des réflexes qui ne coûtent rien.

    Tout le monde peut s’y mettre et il existe des solutions pour sensibiliser le personnel du secteur privé comme du secteur public.

  3. Xuorp Reply

    Tout cela c’est bien joli, mais toutes les pme n’ont pas de DSI. Pour elles ce qui compte c’est de disposer d’informations concrètes, pratique et directement utilisable. Des tas d’articles existent pour nous mettre en garde mais où trouver des vrais informations sur ce qu’il convient de faire pour se préparer et comment se répartissent les  »responsabilités » entre les éditeurs de logiciels (compta, paie, ERP…) et l’entreprise?

  4. Thibaut Reply

    L’affirmation comme quoi il faut un courrier en recommandé pour notifier les particuliers lésés par une fuite de donnée me semble infondée, un Ctrl+F dans le texte avec « recommandé » ou même « courrier », ou « lettre » ne remonte rien.

    Bravo pour votre participation au marketing de la peur qui entoure ne RGPD.

    • Damien Bancal Reply

      Bonjour,

      Voici des réponses à votre question.

      En 15 secondes sur le site de la CNIL :
      https://webcache.googleusercontent.com/search?q=cache:POIsr4kl9TYJ:https://www.cnil.fr/fr/sujet-de-discussion/quel-moment-doit-notifier+&cd=8&hl=fr&ct=clnk&gl=fr&client=firefox-b – Pour rappel le délai de 72 heures est expliqué par le RGPD comme étant dans la limite du possible.

      En 30 secondes sur le site Privacy Regulation (https://www.privacy-regulation.eu/fr/33.htm) – L’article 33-2 du RGPD impose la notification d’une violation de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. L’article 33-2 impose au sous-traitant de notifier au responsable du traitement toute violation de données personnel dans les meilleurs délais après en avoir pris connaissance.

      Il parait évident qu’une telle notification devra se faire en recommandé pour s’assurer de l’aspect légal de la notification.
      Si la CNIL contacte un jour votre société spécialisée dans le paiement en ligne, en raison d’un problème, elle ne le fera pas par un simple courrier.

      Bref !
      Cordialement

Poster un commentaire