Êtes-vous prêt à assumer les risques de données Êtes-vous prêt à assumer les risques de données sensibles peu protégées, d'une sécurité sensibles peu protégées, d'une sécurité

informatique insuffisante et du non-respect des lois informatique insuffisante et du non-respect des lois sur la vie privéesur la vie privée??

Louvain-La-Neuve, Cercle du Lac, le 20 janvier 2010Louvain-La-Neuve, Cercle du Lac, le 20 janvier 2010

Jacques FolonJacques Folon

Partner Just In Time ManagementPartner Just In Time ManagementProfesseur à l’ICHEC – ISFGSC – IHECSProfesseur à l’ICHEC – ISFGSC – IHECS

Professeur invité Université de MetzProfesseur invité Université de Metz

La présentation powerpoint est à votre La présentation powerpoint est à votre disposition sur disposition sur

www.slideshare.net/folon

3http://www.villiard.com/images/informatique/vie-privee/vie-privee.jpg

Ou en sommes nous aujourd’hui en ce qui concerne la protection des données ?

Ou en sommes nous aujourd’hui en ce qui concerne la protection des données ?

Recent local data breachesRecent local data breachesby by Charles MokCharles Mok

Internet Society Hong KongInternet Society Hong Kong

09.04 / United Christian Hospital / Doctor lost USB drive / 8 patients09.04 / United Christian Hospital / Doctor lost USB drive / 8 patients 09.03 / United Christian Hospital / Doctor lost USB drive / 47 patients09.03 / United Christian Hospital / Doctor lost USB drive / 47 patients 09.03 / Open University / Staff lost USB drive / undisclosed # of students09.03 / Open University / Staff lost USB drive / undisclosed # of students 09.03 / HK Police / 70 internal documents on Foxy09.03 / HK Police / 70 internal documents on Foxy 09.02 / SCAA / Players and coaches salaries for past 10 yrs on Foxy09.02 / SCAA / Players and coaches salaries for past 10 yrs on Foxy 09.02 / HK Police / Personnel files lost in auxiliary police file cabinet09.02 / HK Police / Personnel files lost in auxiliary police file cabinet 09.02 / Fire Services / 20 personnel/appraisal reports etc on Foxy09.02 / Fire Services / 20 personnel/appraisal reports etc on Foxy 09.01 / Hawk Control, FEHD / USB drive w/ internal docs found on bus09.01 / Hawk Control, FEHD / USB drive w/ internal docs found on bus 08.12 / Social Welfare Dept / USB drives lost / 63 clients/109 data subjects08.12 / Social Welfare Dept / USB drives lost / 63 clients/109 data subjects 08.11 / BEA / Customer statements trashed, used to wrap flowers08.11 / BEA / Customer statements trashed, used to wrap flowers 08.07 / HSBC / 25,000 customers' conversations on tapes lost in mail08.07 / HSBC / 25,000 customers' conversations on tapes lost in mail

Recent local data Recent local data breaches...morebreaches...more 08.06 / Customs & Excise Dept / Internal doc & statement found 08.06 / Customs & Excise Dept / Internal doc & statement found

on Foxy on Foxy 08.06 / Immigration Dept / Confidential file taken home by staff to 08.06 / Immigration Dept / Confidential file taken home by staff to

familiarize himself with procedures, found on Foxyfamiliarize himself with procedures, found on Foxy 08.05 / Census & Statistics Dept / USB drive lost / 2 companies' 08.05 / Census & Statistics Dept / USB drive lost / 2 companies'

datadata 08.05 / HK Police / Info about undercover operations, appraisal 08.05 / HK Police / Info about undercover operations, appraisal

report and ICAC job description on Foxyreport and ICAC job description on Foxy 08.03 /HSBC / Server lost in Kwun Tong branch during renovation08.03 /HSBC / Server lost in Kwun Tong branch during renovation 08.04 / Civil Service Bureau / USB drive lost08.04 / Civil Service Bureau / USB drive lost 08.04 / HK Police / Documents found on Foxy08.04 / HK Police / Documents found on Foxy 08.04 / Civil Aviation Dept / Documents found on Foxy08.04 / Civil Aviation Dept / Documents found on Foxy 08.04 and before / Hospital Authority / over 10 cases involving 08.04 and before / Hospital Authority / over 10 cases involving

loss of USB drives, digital cameras, notebook, PDA, MP3 players, loss of USB drives, digital cameras, notebook, PDA, MP3 players, etc.etc.

You think that's bad? Wait...You think that's bad? Wait... 09.04 / Moses Cone Hospital (Greensboro, NC) / 14,380 patients' 09.04 / Moses Cone Hospital (Greensboro, NC) / 14,380 patients'

data stolen on notebookdata stolen on notebook 09.04 / Peninsula Orthopaedic Associates / Tapes with 100,000 09.04 / Peninsula Orthopaedic Associates / Tapes with 100,000

patients' data stolenpatients' data stolen 09.04 / Tennessee Dept of Human Services / Employee caught 09.04 / Tennessee Dept of Human Services / Employee caught

selling personal data / 1,178 peopleselling personal data / 1,178 people 09.04 / Borrego State Bank (CA) / 7 notebook PCs stolen from 09.04 / Borrego State Bank (CA) / 7 notebook PCs stolen from

audit firmaudit firm 09.04 / Hawaii Transport Dept / Computer stolen / 1,892 driver 09.04 / Hawaii Transport Dept / Computer stolen / 1,892 driver

license holderslicense holders 09.04 / Nashville Schools (TN) / Contractor put student data on 09.04 / Nashville Schools (TN) / Contractor put student data on

unsecured web server / 18,000 studentsunsecured web server / 18,000 students 09.04 / City of Culpeper (VA) / Contractor exposed 7,845 09.04 / City of Culpeper (VA) / Contractor exposed 7,845

taxpayers data on Internettaxpayers data on Internet 09.02 / Arkansas Dept of Info Systems / Computer tapes lost / 09.02 / Arkansas Dept of Info Systems / Computer tapes lost /

807,000 people807,000 peoplehttp://www.privacyrights.orghttp://www.privacyrights.org

...and there're more......and there're more... 09.01 / Merrill Lynch (NY) / Contractor burglarized, losing a computer 09.01 / Merrill Lynch (NY) / Contractor burglarized, losing a computer

containing unknown number of staff infocontaining unknown number of staff info 09.01 / Pepsi (NY) / Portable storage device lost w/ unknown # of 09.01 / Pepsi (NY) / Portable storage device lost w/ unknown # of

staff datastaff data 09.01 / CheckFree (Atlanta, GA) / Hackers took over domains and 09.01 / CheckFree (Atlanta, GA) / Hackers took over domains and

redirected customers to phishing site in the Ukraine. At least 16,000 redirected customers to phishing site in the Ukraine. At least 16,000 customers are believed to be affected, but company warned 5 customers are believed to be affected, but company warned 5 million customers.million customers.

09.01 / Genica/Geeks.com (Oceanside, CA) / Data of unknown 09.01 / Genica/Geeks.com (Oceanside, CA) / Data of unknown number of e-commerce site customers, incl. credit card numbers, number of e-commerce site customers, incl. credit card numbers, stolen by hackerstolen by hacker

09.01 / U of Rochester (NY) / 450 students info incl SS# hacked 09.01 / U of Rochester (NY) / 450 students info incl SS# hacked 09.01 / Columbus City Schools (OH) / Police raid uncovered 100 city 09.01 / Columbus City Schools (OH) / Police raid uncovered 100 city

employees' personal info, believed to be intercepted in mailsemployees' personal info, believed to be intercepted in mails 09.01 / Heartland Payment (NJ) / Cyberfraud compromised over 09.01 / Heartland Payment (NJ) / Cyberfraud compromised over

100M transaction records100M transaction recordshttp://www.privacyrights.orghttp://www.privacyrights.org

...by everyone (just 2009)...by everyone (just 2009) Univ of Oregon / unknownUniv of Oregon / unknown Seventh Day Adventists /292Seventh Day Adventists /292 Continental Airlines / 230Continental Airlines / 230 Forcht Bank (KY) / 8,500Forcht Bank (KY) / 8,500 Charleston Health Dept Charleston Health Dept

(WV) / 11,000(WV) / 11,000 Missouri State U / 565Missouri State U / 565 Monster.com / unknownMonster.com / unknown US Military / 60US Military / 60 US Consulate (Jerusalem) US Consulate (Jerusalem) Indiana Dept of Admin / Indiana Dept of Admin /

8,7758,775 phpBB.com / 400,000phpBB.com / 400,000 ComCast / 4,000ComCast / 4,000http://www.privacyrights.orghttp://www.privacyrights.org

Kaiser Permanente (CA) / Kaiser Permanente (CA) / 30,00030,000

Kaspersky, Symantec / Kaspersky, Symantec / unknownunknown

Parkland Memorial Hospital Parkland Memorial Hospital (TX) / 9,300(TX) / 9,300

Federal Aviation Dept / Federal Aviation Dept / 43,00043,000

U of Alabama / 37,000U of Alabama / 37,000 Wyndham Hotels / 21,000Wyndham Hotels / 21,000 CVS Pharmacies / unknownCVS Pharmacies / unknown Walgreens / 28,000Walgreens / 28,000 New York Police / 80,000New York Police / 80,000 Idaho National Lab / 59,000Idaho National Lab / 59,000 Google (doc users) / unknown Google (doc users) / unknown US Army / 1,600US Army / 1,600

9SOURCE : http://www.20min.ch/ro/multimedia/stories/story/22206398

10

11

AVANT

Ce que les patrons croient…

En réalité…En réalité…

Ou sont les données?Ou sont les données?

Tout le monde se parle !Tout le monde se parle !

Les employés partagent des informations

Source : https://www.britestream.com/difference.html.

La transparence est devenue indispensable !

Comment Comment faire pour faire pour protéger protéger les les données?données?

• 60% des citoyens européens se 60% des citoyens européens se sentent concernéssentent concernés

• La découverte des vols de données se La découverte des vols de données se fait après-coup!fait après-coup!

• La protection des données est un La protection des données est un risque opérationnel => observé par risque opérationnel => observé par les investisseursles investisseurs

• La connaissance de ses clients est un La connaissance de ses clients est un atout (CRM)atout (CRM)

La mise en conformité de la sécurité avec la protection de la vie privée est obligatoire et

indispensable

Quels sont les risques?

•Perte de réputation (procès, articles,…)•Les médias en parlent systématiquement•Vol de données de clients, d’employés, d’administrateurs, …•Perte de confiance des clients•Sanctions pénales et civiles

•Perte de réputation (procès, articles,…)•Les médias en parlent systématiquement•Vol de données de clients, d’employés, d’administrateurs, …•Perte de confiance des clients•Sanctions pénales et civiles

On en parlera !

Contexte juridique

Trois définitions importantesTrois définitions importantes

1.1.Qu’est-ce qu’une donnée Qu’est-ce qu’une donnée personnelle?personnelle?

1.1.Qu’est-ce qu’un traitement?Qu’est-ce qu’un traitement?

1.1.Qu’est-ce qu’un responsable de Qu’est-ce qu’un responsable de traitement?traitement?

On entend par "données à caractère personnel”: toute information concernant une personne physique identifiée ou identifiable, désignée ci-après "personne concernée"; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs Éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale

Donnée personnelleDonnée personnelle

Par "traitement",

on entend toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés

Automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement,

l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,

la communication par transmission, diffusion ou toute autre forme de mise à disposition,

le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction

de données à caractère personnel.

Traitement de données

Par "responsable du traitement",

on entend la personne physique ou morale, l'association de fait ou l'administration publique qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

Responsable de traitement

1.1. LoyautéLoyauté2.2. FinalitéFinalité3.3. ProportionalitéProportionalité4.4. Exactitude des donnéesExactitude des données5.5. Conservation non excessiveConservation non excessive6.6. SecuritéSecurité7.7. ConfidentialitéConfidentialité8.8. Finalité expliquée avant le consentementFinalité expliquée avant le consentement9.9. Information à la personne concernéeInformation à la personne concernée10.10.Consentement indubitable (opt in)Consentement indubitable (opt in)11.11.DDééclaration à la commission de la vie privéeclaration à la commission de la vie privée

Responsabilités du “responsable de traitement »

33

Responsabilités duResponsabilités du “responsable de traitement” “responsable de traitement”

• LoyautéLoyauté– Soyez honnête et correct avec la personne Soyez honnête et correct avec la personne

concernéeconcernée

• ProportionnalitéProportionnalité– Pas de demande d’informations non nécessairesPas de demande d’informations non nécessaires

• Maintien de l’exactitude des Maintien de l’exactitude des données: Mutapost par exempledonnées: Mutapost par exemple

34

• Conservation raisonnable– Les données doivent être détruites après la période

strictement indispensable à la finalité (Jeux-concours, enquête, etc.)

• Sécurité– Légale, organisationnelle & technique

• Confidentialité– employés et sous-contractants

• Finalité expliquée avant le consentement

– Et n’oubliez pas la loyauté!

Responsabilités du “responsable de Responsabilités du “responsable de traitement”traitement”

10/04/23 35

Responsabilités du responsable Responsabilités du responsable de traitementde traitement

• Information à la personne Information à la personne concernéeconcernée

– Liste des informations nécessaires (nom, Liste des informations nécessaires (nom, adresse, contact, policy, etc.)adresse, contact, policy, etc.)

• Consentement indubitableConsentement indubitable– Opt-in on line et opt-out off-lineOpt-in on line et opt-out off-line– N’oubliez pas de garder les preuves N’oubliez pas de garder les preuves

d’inscriptions!d’inscriptions!

• DDééclarationclaration

Droits du consommateurDroits du consommateur

6 PRINCIPES:6 PRINCIPES:

1.1. Droit d’accèsDroit d’accès2.2. Droit de rectificationDroit de rectification3.3. Droit de refuser le Droit de refuser le

marketing directmarketing direct4.4. Droit de retraitDroit de retrait5.5. DDroit à la sécuritéroit à la sécurité6.6. AAcceptation cceptation

préalablepréalable

37

Droits des personnes Droits des personnes concernéesconcernées

6 PRINCIPES:6 PRINCIPES:

1.1. Droit d’accès:Droit d’accès: maximum 45 jours pour répondremaximum 45 jours pour répondre Toute l’informationToute l’information

2.2. Droit de rectification:Droit de rectification: En cas d’erreursEn cas d’erreurs Dans le mois de la demandeDans le mois de la demande

3. Droit de refuser le marketing direct3. Droit de refuser le marketing direct Pas de contact via e-mail, telephone, …Pas de contact via e-mail, telephone, … Pas de transfert à des tiersPas de transfert à des tiers

38

Droits des personnes Droits des personnes concernéesconcernées

44. Droit de retrait . Droit de retrait Liste Robinson ABMD:Liste Robinson ABMD:

- Liste Robinson interne par produit ou par - Liste Robinson interne par produit ou par clientclient

5. Acceptation préalable5. Acceptation préalable Publicité par faxPublicité par fax Publicité par appel automatiquePublicité par appel automatique Publicité par e-mailPublicité par e-mail

6. S6. Sécuritéécurité des donn des donnéesées

Données reçues et Données reçues et transféréestransférées

Informations sensiblesInformations sensibles

Informations sensiblesInformations sensibles

•Race•Opinions politiques•Opinions religieuses ou philosophiques•Inscriptions syndicales•Comportement sexuel•Santé•Décisions judiciaires

43

OPT IN sur InternetOPT IN sur Internet

• ObligatoireObligatoire• Le propriétaire de la Le propriétaire de la

banque de données banque de données doit être capable de doit être capable de prouver que l’opt-in a prouver que l’opt-in a bien eu lieu !!bien eu lieu !!

• Exceptions selon les Exceptions selon les législationslégislations

Comment obtenir le Comment obtenir le consentement?consentement?

Pas d’opt in nécessaire pour:Pas d’opt in nécessaire pour:

• ClientClient

• Services ou Services ou produits analoguesproduits analogues

• Possibilité de Possibilité de refuserrefuser

• info@abcd.be info@abcd.be

• ClientClient

• Services ou Services ou produits analoguesproduits analogues

• Possibilité de Possibilité de refuserrefuser

• info@abcd.be info@abcd.be

SPAMMINGSPAMMING

http://blog.dolphinpromotions.co.uk/general/seo-companies-stop-spamming-us-rant/102

Courrier électronique non Courrier électronique non sollicitésollicité

• L'utilisation du courrier électronique à des fins de L'utilisation du courrier électronique à des fins de publicité est interdite, sans le consentement publicité est interdite, sans le consentement préalable, libre, spécifique et informé du destinataire préalable, libre, spécifique et informé du destinataire des messages. des messages. 

  •   Lors de l'envoi de toute publicité par courrier Lors de l'envoi de toute publicité par courrier

électronique, le prestataire : électronique, le prestataire : 

• 1° fournit une information claire et compréhensible 1° fournit une information claire et compréhensible concernant le droit de s'opposer, pour l'avenir, à concernant le droit de s'opposer, pour l'avenir, à recevoir les publicités;  recevoir les publicités;  

• 2° indique et met à disposition un moyen approprié 2° indique et met à disposition un moyen approprié d'exercer efficacement ce droit par voie d'exercer efficacement ce droit par voie électronique.  électronique.  

    

• Lors de l'envoi de publicités par courrier Lors de l'envoi de publicités par courrier électronique, il est interdit :  électronique, il est interdit :  

• 1° d'utiliser l'adresse électronique ou 1° d'utiliser l'adresse électronique ou l'identité d'un tiers; l'identité d'un tiers; 

• 2° de falsifier ou de masquer toute 2° de falsifier ou de masquer toute information permettant d'identifier l'origine information permettant d'identifier l'origine du message de courrier électronique ou son du message de courrier électronique ou son chemin de transmission.  chemin de transmission.  

• La preuve du caractère sollicité des La preuve du caractère sollicité des publicités par courrier électronique publicités par courrier électronique incombe au prestataire.incombe au prestataire.

49

CookiesCookies

Transferts de données Transferts de données transfrontalierstransfrontaliers

SSéécuritcuritéé

Le maillon faible…Le maillon faible…

• Sécurité organisationnelleSécurité organisationnelle– Département sécuritéDépartement sécurité– Consultant en sécuritéConsultant en sécurité– Procédure de sécuritéProcédure de sécurité– Disaster recoveryDisaster recovery

• Sécurité organisationnelleSécurité organisationnelle– Département sécuritéDépartement sécurité– Consultant en sécuritéConsultant en sécurité– Procédure de sécuritéProcédure de sécurité– Disaster recoveryDisaster recovery

• Sécurité techniqueSécurité technique– Risk analysisRisk analysis– Back-upBack-up– Procédure contre incendie, vol, etc.Procédure contre incendie, vol, etc.– Sécurisation de l’accès au réseau ITSécurisation de l’accès au réseau IT– Système d’authentification (identity Système d’authentification (identity

management)management)– Loggin and password efficacesLoggin and password efficaces

• Sécurité techniqueSécurité technique– Risk analysisRisk analysis– Back-upBack-up– Procédure contre incendie, vol, etc.Procédure contre incendie, vol, etc.– Sécurisation de l’accès au réseau ITSécurisation de l’accès au réseau IT– Système d’authentification (identity Système d’authentification (identity

management)management)– Loggin and password efficacesLoggin and password efficaces

• Sécurité juridiqueSécurité juridique– Contrats d’emplois et informationContrats d’emplois et information– Contrats avec les sous-contractantsContrats avec les sous-contractants– Code de conduiteCode de conduite– Contrôle des employésContrôle des employés– Respect complet de la réglementationRespect complet de la réglementation

• Sécurité juridiqueSécurité juridique– Contrats d’emplois et informationContrats d’emplois et information– Contrats avec les sous-contractantsContrats avec les sous-contractants– Code de conduiteCode de conduite– Contrôle des employésContrôle des employés– Respect complet de la réglementationRespect complet de la réglementation

Qui contrôle quoi ?

• Que peut-on Que peut-on contrôler?contrôler?

• Limites?Limites?

• CorrespondancCorrespondance privéee privée

• Saisies sur Saisies sur salairesalaire

• Sanctions Sanctions réelles réelles

• Communiquer Communiquer lesles sanctions?sanctions?

Contrôle des employés : Contrôle des employés : équilibreéquilibre

• Protection de la vie privée des travailleurs

ET• Les prérogatives de

l’employeur tendant à garantir le bon déroulement du travail

Peut-on tout contrôler et tout sanctionner ?

Principe de finalité Principe de proportionnalité

Les 4 finalités Les 4 finalités

1.1. Prévention de faits illégaux, de faits contraires Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autruiatteinte à la dignité d’autrui

2.2. La protection des intérêts économiques, La protection des intérêts économiques, commerciaux et financiers de l’entreprise commerciaux et financiers de l’entreprise auxquels est attaché un caractère de auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les confidentialité ainsi que la lutte contre les pratiques contrairespratiques contraires

Les 4 finalitésLes 4 finalités

3 3 La sécurité et/ou le fonctionnement technique La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la contrôle des coûts y afférents, ainsi que la protection physique des installations de protection physique des installations de l’entreprisel’entreprise

4 Le respect de bonne foi des principes et règles 4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés d’utilisation des technologies en réseau fixés dans l’entreprisedans l’entreprise

sanctionssanctions

• CohérentesCohérentes

• LégalesLégales

• Zone griseZone grise

• RéellesRéelles

• ObjectivesObjectives

• Syndicats Syndicats

Sécurité et Sécurité et sélectionsélection

• Screening des CV Screening des CV

• Avant engagementAvant engagement

• Final checkFinal check

• AntécédentsAntécédents

• Quid médias Quid médias sociaux, Facebook, sociaux, Facebook, googling, etc?googling, etc?

• Tout est-il permis?Tout est-il permis?

Quels sont les risques ?Quels sont les risques ?

10/04/23 Jacques Folon -LSGI 68

RÖLE DU RESPONSABLE DE SECURITERÖLE DU RESPONSABLE DE SECURITE

Alors quand un patron pense à ses données Alors quand un patron pense à ses données il est zen ?il est zen ?

Ou plutôt?Ou plutôt?

MéthodologieMéthodologie

http://www.sunera.com/typo3temp/pics/f43202fdda.jpg

Espérons que la sécurité de vos données

ne ressemble jamais à ceci !

Jacques FolonJacques Folon+ 32 475 98 21 15+ 32 475 98 21 15

jfo@jitm.eu www.jitm.eu

QUESTIONS ?QUESTIONS ?