Sensibilisation du personnel de Belgomedia au GDPR / RGPD. Qu'est-ce que le Règlement Général pour la Protection des Données ? Quand et comment s'applique-t-il ? Définitions, grands principes, livrables, etc.
1. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 1
GDPR
Quatre lettres qui font peur.
Vraiment ?
2. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 2
Plan de la présentation
1. GDPR, c’est quoi ?
2. Quand le GDPR s’applique-t-il ?
3. Données à caractère personnel
4. Traitement, responsable et registre
5. Le GDPR, ça fait peur !
6. Du droit (un peu), de l’informatique,
et de l’organisation (beaucoup !)
7. Les grands principes du GDPR (en 9 points)
8. Les livrables (documentation !)
9. Quelques conseils et réflexions
10. Questions / réponses
3. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 3
1. GDPR , c’est quoi ?
• GDPR = General Data Protection Regulation, ou
Règlement Général pour la protection des Données
(RGPD)
• Règlement européen (UE 2016/679) (pas une directive);
• publié au Journal Officiel le 27 avril 2016;
• directement applicable dans les 28 états membres dès le
25 mai 2018.
• Un cadre harmonisé et des compétences extra-
territoriales.
4. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 4
Contexte
« Personal data is the new oil of the internet
and the new currency of the digital world. »
(Meglena Kuneva, Commissaire Européenne
à la Protection des Consommateurs, 31 mars 2009)
5. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 5
Contexte
6. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 6
Contexte
7. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 7
2. Quand le GDPR
s’applique-t-il ?
8. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 8
Champ d’application matériel
Le GDPR s’applique dès qu’a lieu un traitement de
données à caractère personnel, automatisé en tout ou en
partie, ainsi qu’à tout traitement non automatisé de données
à caractère personnel contenues ou appelées à figurer dans
un fichier.
(NDLR : voir l’article 2 du GDPR, paragraphes 2 à 4 pour les exclusions et
particularités)
9. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 9
Champ d’application
territorial
Le règlement s’applique dans les cas suivants :
1. Traitement de données à caractère personnel effectué dans le cadre des activités
d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de
l’Union, que le traitement ait lieu ou non dans l’Union.
2. Traitement par un responsable de traitement ou un sous-traitant qui n’est pas établi dans
l’Union, mais le traitement concerne des personnes physiques se trouvant sur le territoire de
l’Union et est lié à une des situations suivantes :
• offre de biens ou de services à des personnes concernées dans l’Union, qu’un paiement soit
exigé ou non desdites personnes;
• suivi du comportement de ces personnes (exemple : utilisation de cookies sur Internet), dans
la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
3. Le responsable du traitement n’est pas établi dans l’Union mais dans un lieu où le droit d’un Etat
membre s’applique en vertu du droit international public.
10. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 10
3. Données à caractère
personnel
Toute information identifiant directement ou indirectement
une personne physique (ex. nom, no d’immatriculation, no de
téléphone, photographie, date de naissance, commune de
résidence, empreinte digitale…).
Pour déterminer si une personne est identifiable, il convient de
considérer l’ensemble des moyens en vue de permettre son
identification dont dispose ou auxquels peut avoir accès le
responsable du traitement ou toute autre personne.
La personne à laquelle se rapportent des données à caractère
personnel qui font l’objet d’un traitement est appelée
« Personne concernée ».
11. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 11
12. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 12
4. Traitement,
responsable
et registre
13. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 13
Traitement de données
Toute opération ou ensemble d’opérations
effectuées ou non à l’aide de procédés automatisés
et appliquées à des données à caractère personnel, telles que :
• collecte
• enregistrement
• organisation
• conservation
• l’adaptation ou la
modification,
• l’extraction,
• la consultation,
• la communication par
transmission, diffusion
ou toute autre forme de
mise à disposition,
• le rapprochement ou
l’interconnexion
• le verrouillage,
l’effacement ou la
destruction, …
14. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 14
Responsable de traitement
Le responsable de traitement est
• la personne physique ou morale,
l’autorité publique, le service ou un autre
organisme qui,
• seul ou conjointement avec d’autres,
• détermine les finalités et les moyens
du traitement de données à caractère
personnel.
15. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 15
Sous-traitant
Le sous-traitant est
• la personne physique ou morale,
l’autorité publique, le service ou un autre
organisme qui
• traite des données à caractère
personnel
• pour le compte du responsable de
traitement.
16. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 16
Registre de traitement
• Documentation !
• A la disposition de l’autorité de contrôle (« Autorité de
Protection des Données », qui remplace la « Commission
de la Protection de la Vie Privée, en Belgique)
• Tenu à jour
• Principe d’ACCOUNTABILITY !
17. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 17
Registre de traitement
Pour chaque traitement de données à caractère personnel :
• Nom et coordonnées du responsable, de son
représentant, du DPO, du resp. conjoint (le cas échéant);
• Finalités;
• Catégories de personnes concernées et de données;
• Catégories de destinataires + transferts vers pays tiers (!)
• Délais prévus pour l’effacement des données;
• Mesures de sécurité techniques et organisationnelles; …
18. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 18
5. Le GDPR
ça fait PEUR !
19. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 19
Sanctions et amendes
• Injonctions
• Amendes administratives lourdes :
jusque 20 MILLIONS €
ou 4% du C.A. mondial du groupe
• Engagement de la responsabilité
personnelle des décideurs dans
l’entreprise
• ==> Armes de dissuasion massive
20. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 20
21. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 21
Votre réputation
22. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 22
Rassurez-vous…
En retard par rapport au GDPR ?
Seulement en retard
de 26 ans par rapport
à la loi de 1992 !
23. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 23
Rassurez-
vous…
24. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 24
Du droit (un peu),
de l’informatique,
et de l’organisation
(beaucoup !)
25. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 25
• DROIT
• Contrats sous-traitants
• Privacy Policy
• RH (confidentialité -
code de conduite)
• INFORMATIQUE
• Privacy by design /
default
• Sécurité des S.I.
• I.A.M.
• Code de conduite ICT
• Documentation
• Droit d’accès
• Droit à l’oubli
• CCT 81
• ORGANISATION
• Analyse de risques
• Archivage digital
• Gestion de projet
• Change Management
• Registre de traitement
• Communication de
crise (data breach)
• Formation
26. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 26
7. Les grands
principes du GDPR
A. Six conditions de collecte et de traitement
B. Tout commence par le consentement
C. Responsabilité - Accountability
D. Droits de la personne concernée
E. Privacy by design / Privacy by Default
F. Sécurité des données
G. Notification en cas de violation des données
H. Analyse de risque (PIA - Privacy impact assessment)
I. DPO / DPPM
27. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 27
7.a. Six conditions de collecte
et de traitement
1. Traitement licite, loyal et transparent
2. Finalité de traitement déterminée, explicite et légitime
3. Minimisation des données (adéquates, pertinentes et
limitées à ce qui est nécessaire au regard des finalités
pour lesquelles elles sont traitées)
4. Données exactes et tenues à jour
5. Limitation de la conservation
6. Intégrité et confidentialité (sécurité !)
28. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 28
7.b. Consentement
• = toute manifestation de volonté
• libre, spécifique, éclairée
• et UNIVOQUE
• par laquelle la personne concernée accepte,
A. par une déclaration OU
B. par un acte positif explicite
• que des donnée à caractère personnel la concernant
fassent l’objet d’un traitement déterminé.
29. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 29
• Le consentement doit pouvoir être retiré aussi
facilement qu’il a été donné.
• Le responsable de traitement doit, à tout moment, être en
mesure de prouver le recueil du consentement (requête
d’une personne concernée, contrôle de l’APD).
30. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 30
Une règle !
31. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 31
Cinq exceptions
Le traitement est nécessaire…
1. à l’exécution d’un contrat ou de mesures précontractuelles
(prises à la demande de la personne concernée !);
2. au respect d’une obligation légale à laquelle le responsable de
traitement est soumis;
3. à la sauvegarde des intérêts vitaux (de la personne concernée
ou d’une autre personne physique);
4. à l’exécution d’une mission d’intérêt public;
5. (aux fins des intérêts légitimes du responsable de traitement).
32. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 32
Intérêt légitime
33. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 33
7.c. Accountability
34. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 34
35. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 35
Le responsable de traitement doit, à
tout moment, être en mesure :
• de démontrer qu’il respecte les
6 conditions de collecte et de
traitement (voir 7.a.)
• de prouver, le cas échéant, que
la personne concernée à
donné son consentement au
traitement
36. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 36
Principale tâche :
DOCUMENTATION !
37. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 37
7.d. Droits de la personne
concernée
• Transparence
• Information lors de la collecte
• Accès
• Rectification
• Effacement
• Limitation du traitement
• Portabilité
• Opposition au profilage
38. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 38
Transparence / information
39. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 39
40. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 40
• Exercice du droit à la liberté d’expression
et d’information
• Obligations légales (==> comptabilité !)
• Constatation, exercice ou défense de
droits en justice
• (etc… article 17 § 3)
41. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 41
7.e. Privacy by Design /
Privacy by Default
42. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 42
Privacy by Design
• Le logiciel de traitement des données à caractère
personnel a été conçu dans le respect des règles du
GDPR.
• Mesures techniques et organisationnelles appropriées.
• Pseudonymisation
• Minimisation
43. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 43
Compte tenu :
• de l’état des connaissances;
• des coûts de mise en œuvre;
• de la nature;
• de la portée;
• du contexte;
• des finalités du traitement;
• des risques (probabilité, gravité) pour les
droits et libertés des personnes physiques.
44. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 44
Privacy by Default
Mesures techniques et organisationnelles appropriées pour
garantir, par défaut :
• Minimisation des données traitées au regard de chaque
finalité;
• Limitation de la durée de conservation, de l’étendue du
traitement, de l’accessibilité;
• Protection des données à caractère personnel !
45. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 45
Data
Life Cycle
Sécurité stockage ?
Intégrité ? Accès ?
Disponibilité ?
Confidentialité ?
Respect des 6 conditions de
collecte ? Minimisation ?
Analyse de risque ?
Base légale du
traitement ?
Sous-traitants ?
Privacy Policy ?
QUI ?
Consentement ?
Transparence ? Confiance ?
Pays tiers ?
Confidentialité ?
Pérennité ?
Intégrité ?
Délai de rétention ?
Obligation de
conservation ?
46. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 46
7.f. Sécurité des données
47. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 47
48. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 48
49. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 49
50. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 50
Source:https://www.slideshare.net/SolarWinds/solarwinds-federal-cybersecurity-survey
51. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 51
52. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 52
La sécurité des données est l’affaire de tous !
53. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 53
Bruce Schneier (US), cryptologue, spécialiste en sécurité informatique
54. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 54
55. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 55
Ne pas oublier :
• Plan de sécurité de l’information
• Archivage
• Destruction des données
• ISO 2700x
• Audit de sécurité
• Test de pénétration, etc.
56. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 56
Pouvoir identifier les fuites !
57. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 57
7.g. Notification vol/perte
58. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 58
72 heures
après avoir pris connaissance de la violation
de données à caractère personnel
Notification à l’A.P.D. :
au plus tard
59. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 59
Communication à l’APD,
et après ?
+
Avertir les personnes concernées ?
60. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 60
7.h. Privacy Impact
Assessment
61. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 61
• Si risque élevé pour les droits et libertés des personnes
concernées
• … compte tenu de la nature, de la portée, du contexte et
des finalités du traitement;
• (+ cas particuliers prévus par GDPR ou APD);
• Utile même quand pas nécessaire;
• Permet de se poser les bonnes questions;
• BON SENS !
62. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 62
7.i. DPO / DPPM
• DPO : Data Protection Officer (ou Délégué à la Protection des
Données)
• Associé à toutes les questions relatives à la protection des
données à caractère personnel
• Informer et conseiller !
• Contrôle / audit
• Personne de contact (APD et personnes concernées)
• Ne reçoit pas d’instructions / Fonction protégée
• Possible conflit d’intérêt !
• Interne ou DPOaaS ou mutualisation
• DPPM : Data Protection Project Manager (conformité + application)
63. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 63
Quatre fonctions différentes
GDPR Sécurité de l’information
Conseil Data Protection Officer (DPO)
Information Security Advisor
(ISA)
Mise en œuvre
Chef de Projet GDPR (DPPM)
ou correspondant GDPR
dans les départements
Responsable de la sécurité des
systèmes d’information (RSSI)
On ne peut pas être à la fois au conseil et à la mise en œuvre
(les deux domaines étant intimement liés)
64. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 64
8. Les livrables
• Registre de traitement
• Plan de sécurité
• Politique d’archivage
• Identity & Access Management
• Contrats de sous-traitance
• Décisions prises
• Formations
• Best Practices internes
• CCT 81
• Privacy Policy
65. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 65
9. Conseils & Réflexions
66. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 66
67. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 67
68. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 68
https://amiunique.org
69. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 69
https://haveibeenpwned.com
70. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 70
• - 16 ans : consentement du titulaire de la responsabilité
parentale !
• Le responsable de traitement doit s’efforcer de vérifier,
raisonnablement, que le consentement est bien donné ou
autorisé par le responsable parental, compte tenu des
moyens technologiques disponibles.
71. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 71
72. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 72
73. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 73
74. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 74
Plus d’infos…
http://gdpr-blog.belgomedia.local
(uniquement sur réseau local de Belgomedia)
75. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 75
« GDPR compliance is
a continuous process »
(Magnus Valmot, CEO de Ardoq AS, Norvège)
76. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 76
Questions ?
77. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 77
Sources
• https://www.slideshare.net/FOLON/marketing-et-gdpr
• https://www.eugdpr.org/the-regulation.html
• General Data Protection Regulation, Codex, Dirk De Bot, Editor, Politeia,
2016, 311 p.
• https://www.slideshare.net/SolarWinds/solarwinds-federal-cybersecurity-
survey
• https://www.slideshare.net/DragonBe/privacy-by-design-82454527
• https://www.slideshare.net/mactvdp/training-privacy-by-design
• https://fr.slideshare.net/MarcAntoineLedieuAvo/grdp-responsabilit-et-
garanties-de-conformit-des-traitements-ledieu-avocats
Notes de l'éditeur
Règlement, pas directive : ne nécessite pas de transposition dans la législation nationale.
« Les données personnelles sont le nouveau pétrole de l’Internet et la nouvelle monnaie du monde digital. »
« Si c’est gratuit, c’est vous le produit »
Objectif commission : protéger la personne physique, garantir ses droits et libertés.
GAFAN (Google, Apple, Facebook, Amazon, Netflix) et BATX (Baidu, Alibaba, Tencent, Xiaomi)
I.A. a besoin de datas en grande quantité ! Aujourd’hui, vos données sont aux USA ou en Chine (ou Russie ou Corée du Nord, parce qu’ils les volent aux deux autres)
Données majoritairement aux mains des entreprises US et chinoises. Chercheurs européens en IA travaillent pour USA. Ex. Yann LeCun (inventeur du deep learning) et Jérôme Pesenti, chez Facebook, département « FAIR ».
Charles Michel : « Ce n’est pas parce que le gouvernement peu amasser de grands nombres de données privées que cela signifie que nous allons en abuser ».
Florence Horodecki : « Ce n’est pas parce que l’industrie privée… »
Marc Dethier : « Ce n’est pas parce que la communauté Internet… »
Pays de l’U.E. + Lichtenstein, Norvège et Islande.
Catégories particulières de données à caractère personnel : traitement généralement interdit, sauf sous conditions précises.
!!! Transferts vers pays tiers (hors U.E., Lichtenstein, Norvège et Islande) :
Décision d’adéquation (Andorre, Suisse, Iles Féroé, Guernesey, Ile de Man, Jersey, Uruguay, Israël, Argentine, Canada (limitée), USA (Privacy Shield), Nouvelle Zélande
Clauses contractuelles standards (Standard Contractual Clauses)
Binding Corporate Rules
Légitime : voir consentement et 5 exceptions (licéité, base légale).
Pas obligatoire d’obtenir le consentement dans un de ces 5 cas de figure.
(mesures précontractuelles : si pas demandées par pers. concernée, alors ce sont des mesures PROSPECTIVEs ==> consentement !)
Attention : obligation légale (ex. : conserver données de facturation) ne signifie pas autorisation d’autres traitements.
L'une des principales exigences du GDPR est la responsabilité; c'est être capable de démontrer que vous êtes conforme à la loi sur la protection des données.
6 conditions de collecte : Traitement licite, loyal et transparent; Finalité déterminée, explicite et légitime; Minimisation des données; Exactitude; Limitation de la conservation; Sécurité
Intégrité, disponibilité, confidentialité.
Ashley Madison - 2015 - 37 millions de comptes piratés. Extorsions, divorces, suicides.
Equifax (2017) - 143 millions de comptes piratés. Cartes VISA, données financières, revenus, etc.
Adobe (2013) : 153 millions de comptes piratés. ID interne, username, password crypté (faible encryption) + « pense-bête » pour se souvenir du password, en clair.
+ Expérience de captation de données dans métro londonien.
Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous ne comprenez pas ces problèmes et vous ne comprenez pas la technologie.
Seuls les amateurs attaquent les machines; les professionnels visent les hommes.
Toutes les mesures de sécurité que nous allons mettre en place dans les prochaines semaines / mois, devraient déjà l’être
CCT 81 : Convention Collective de Travail n° 81 (26 avril 2002), relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électronique en réseau.
Les utilisateurs vous confient leurs données en confiance : respectez la !
Assurez-vous que les données sont limitées à ce qui est nécessaire et protégées de toute consultation inappropriée.
Protégez les données par anonymisation et retirez-les des interfaces de consultation.
Soyez conscients que la sécurité n’est pas suffisante : ce que vous ne possédez pas ne peut pas vous être volé !