SlideShare une entreprise Scribd logo
Cybersécurité
&
Protection des Données Personnelles
Mohamed MDELLAH
Directeur Contentieux Tunisie Telecom
Retour sur l’expérience de Tunisie Telecom
Introduction
I- De l’intérêt de la protection de l’information en général et des données à caractère
personnel en particulier.
Les enjeux de la sécurité des données : Sécurité des données informatiques,
Ciblage de la population en fonction de leurs intérêts, Identification des
données nécessaires à la protection de la santé, Secret des affaires, Marketing,
veille concurrentielle, Recherche et développement, Traçabilité et preuve et
Protection des données personnelles… etc
Une réalité: l’émergence de l’information dans sa globalité a fait de celle-ci une
source de l’économie moderne.
Un but: La collecte, la propriété voire même l’expropriation de l’information
permet une meilleure compréhension des situations.
L’importance: Avec le développement des ordinateurs L’information a acquis
une «une valeur marchande» et est devenu «un bien commercial» utilisé dans
« les batailles » commerciales
Favorisation de la confidentialité, L'intégrité, La disponibilité des données
Le besoin/intérêt: la société, en tant que structure socio-économique, a
prouvé un besoin et un intérêt à la protection des données à caractère
personnel.
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 2
II- Pourquoi protéger les données à caractère personnel
La collecte des données à caractère personnel n’est pas un
phénomène nouveau mais l’évolution de l’automatisation à travers
des ordinateurs à performance accrue a fait développer une activité
lucrative connexe basée sur la collecte des données personnelles à
l’insu même des personnes concernées
Le traitement automatisé des informations en général et des
données personnelles à des moyens informatiques divers a fait
augmenter les risques d’accès non autorisées et aux manipulations
inopinées de ces données (des buts autres que ceux énoncés).
La perte de contrôle de ces données suite traitement par des
ordinateurs non ou peu sécurisés rendant facile le vol de ces
données
La protection des données à caractère personnel est une porte à
affranchir vers la sécurisation globale des informations/données. Le
besoin se sent généralement sur le plan juridique (insuffisance des
textes)
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 3
Les fondements juridiques de
la sécurité des données à caractère personnel
De l’obligation nait le Droit et le droit
Le Droit de la personne à une protection optimale de ses données personnelles
La nécessité et l’obligation d’imposer aux structures qui collectent des données à caractère
personnel de mettre en application les principes et les règles juridiques obligatoires.
Des principes fondamentaux qui sont édictés dans des textes juridiques (Constitutions,
Conventions Internationales, lois, décrets..)
Textes Juridiques
 les lignes directrices de l’OCDE adoptés le 23/09/1980 portant harmonisation des législation
nationales relatives à la protection de la vie privée et les données personnelles et les flux
transfrontalières des données à caractère personnel,
 les lignes directrices de l’ONU adoptées le 14/12/1990, pour la réglementation des fichiers
informatisés des données à caractère personnel,
 la convention européenne du 28/01/1981 pour la protection des personnes à l’égard du
traitement automatisé des données à caractère personnel
 la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques
à l’égard du traitement des données personnelles et à la libre circulation de ces données,
 La convention africaine sur la cybersécurité et la protection des données à caractère
personnel du 27/06/2014.
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 4
Sur le plan national
 L'article 24 de la constitution (2014)
 Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à
caractère personnel.
 Loi organique n°2012-23 du 20 décembre 2012 relative à l'instance supérieure
indépendante pour les élections, article 23 faisant allusion à la législation relative à la
protection des données personnelles
 Loi organique n° 2013-43 du 23 octobre 2013, relative à l’instance nationale pour la
prévention de la torture, Article 14 faisant allusion à la législation relative à la protection
des données personnelles
 Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de
déclaration et d'autorisation pour le traitement des données à caractère personnel.
 Décret n°2008-3026 du 15 septembre 20008 fixant les conditions générales d’exploitation
des réseaux publics des télécommunications et des réseaux d’accès tel qu’il a été
modifié et complété par le décret n°2014-53 du 10 janvier 2014 (Article 6 par. B, C et D)
 Décret n°2013-4506 du 6 novembre 2013 relatif à la création de l'agence technique des
télécommunications et fixant son organisation administrative, financière et les modalités
de son fonctionnement (Article 2).
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 5
Des principes interdépendants
 Une obligation de sécurité (d’ordre légal): les données collectées doivent être protégées par des
mesures de sécurité appropriées selon le degré et le niveau de leur sensibilité, l’entreprise,
exposée à des risques et menaces à la sécurité, doit en mesure de contrôler l’accès.
 La responsabilité de l’organisation des données personnelles qu’elle détient sous son contrôle
 Justification des finalités de la collecte (à priori ou pendant l’opération),
 Le consentement libre de l’individu à propos de la collecte, le traitement de ses données et sont
à le retirer en tout temps sous réserves des restrictions légales
 Limitation de la collecte au strict nécessaire pour atteindre les finalités déjà exprimées et fixées.
Les données ne doivent être utilisées à des fins autres que celles approuvées et ne doivent être
conservées que durant les périodes nécessaire à la réalisation des fins
 La qualité des données collectées exige que les données collectées doivent être justes, exactes,
complète et mises à jour
 La transparence: l’organisation doit assurer à l’individu la disponibilité des données et lui faciliter
l’accès
 L’accès libre de l’individu à ses données collectées et la possibilité de contester l’exactitude et
l’intégralité des données
 Le droit de se plaindre du non respect des principes et l’obligation de l’organisation de faire
l’enquête nécessaire pour déterminer les responsabilités et donner suite aux plaintes.
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 6
Retour sur
L’expérience de Tunisie Telecom
Pionnière du secteur des télécoms en Tunisie et en tant
qu’opérateur global, Tunisie Telecom assure à sa clientèle une
panoplie de produits, services de téléphonie, fixe et mobile ainsi
que de l’internet en plus des prestations y attachés.
 Procède de façon quotidienne à des opérations de collecte
des Données à Caractère Personnel:
– Directement à travers ses différents services
compétents.
– Indirectement à travers des sous-traitants (ex. les
distributeurs, les FSI et les FSVA…)
 A l’instar des autres entreprises, Tunisie Telecom assure la
pérennité de ses biens et la protection de ses locaux à
travers les moyens de vidéo-surveillance,
Dans les deux cas, On se trouve devant des opérations de
Traitement des données à caractère personnel soumises à des
dispositions légales à respecter dont l’enjeu dépasse le simple
devoir légal pour toucher la sécurité voire encore la réputation.
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 7
Retour sur L’expérience de Tunisie Telecom
Attentive à ces prescriptions Tunisie Telecom n’a pas tardé à se conformer aux dispositions légales
imposées par loi organique du 27 Juillet 2004 portant sur la protection des données à caractère
personnel et le Décret du 27 novembre 2007 fixant les conditions et les procédures de déclaration et
d'autorisation pour le traitement des données à caractère personnel.
 2 obligations majeures qu’elle a accomplie auprès de l’INPDP (art.7 et 69 de la loi) et a obtenu les
décisions correspondantes:
NB: TT est tenue, en cas de nécessité, de saisir l’Instance pour mettre à jour son statut en tant que
responsable de traitement des données à caractère personnel
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 8
Retour sur L’expérience de Tunisie Telecom
 Elle a adopté récemment une charte de sécurité qui détermine les politiques spécifiques de
sécurité de l’information y compris celle relative à la protection des données à caractère
personnel basée sur les principes de PDCP à savoir; la finalité, la proportionnalité, la
pertinence, la durée limitée de conservation des données, sécurité et confidentialité,
transparence des données et au respect du droit de la personne à l’information, à l’accès, à la
rectification et à l’opposition
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 9
Retour sur L’expérience de Tunisie Telecom
 Personnaliser l’accès pour la délimitation des responsabilité et pouvoir garder un droit de
supervision sur les opérations de collecte et de traitement des données à caractère personnel,
 Centraliser au niveau de la DCAJ, le traitement des requêtes et réquisitions de l’appareil judiciaire,
 Mesures d’ordre interne ayant pour but de sensibiliser les employés de TT de l’importance de la
collecte et du traitement des données à caractère personnel et de devoir à leur préserver la
diligence nécessaire,
 Limiter l’accès aux applications dédiées, aux employés compétents sous condition d’obtenir au
préalable auprès de la DCSI des log in et MP,
 Prendre les mesures nécessaires à l’égard des contrevenants.
22/12/2016
Cybersécurité et Protection des DP-Retour
sur l'expérience de TT
10
Les problématiques liées au Cloud Computing
Le Cloud Computing est un mode évolué de traitement des données (sur Internet ou au sein d’un
Réseau Privée Virtuel) à travers la location des capacités de (stockage, logiciel, environnement…)
En raison de sa structure, différents types de risques doivent être pris en considération y compris
ceux d’ordre juridique:
 la perte de contrôle sur les données
 Non respect des dispositions légales
 Usage abusif des données
 La détermination des personnes du responsable de traitement et du sous-traitant
 La garantie d’un niveau de protection des DP en cas de transfert des données à l’étranger
 Le droit applicable
En raison de l’absence d’un cadre réglementaire spécifique au Cloud Computing, il faut se référer au
cadre général en la matière à savoir la loi du Loi organique n°2004-63 du 27 Juillet 2004 portant sur
la protection des données à caractère personnel.
La nécessité d’un cadre contractuel fiable qui:
 - Matérialiser les exigences de sécurité et de confidentialité
 - assurer l’exercice des droits des parties
 - Définir clairement les responsabilités
 - Déterminer les juridictions compétentes
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 11
Les réponses juridiques aux problématiques liées au Cloud
De point de vu droit des données à caractère personnel, le traitement des données personnelles
découlant du Cloud Computing impose au prestataire de:
 Se conformer entièrement aux dispositions légales et aux clauses contractuelles de même
que le sous traitant
 Superviser/contrôler le sous-traitant étant donné que les rapports prestataire/Sous
traitant ne sont pas transmis à l’utilisateur de service.
 Les données personnelles doivent être protégées contre tout traitement non autorisé par
des mesures techniques et organisationnelles
 Assurer la confidentialité, la disponibilité et l’intégralité des données personnelles
 L’utilisateur doit avoir le droit d’accès, de rectifier et d’effacer ses données à tout moment
et dans le respect total des dispositions légales en vigueur
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 12
Position de Tunisie Telecom?
Des services cloud offerts depuis le 16 juin 2015 avec,
une capacité d’hébergement à travers ses (3) Data Center dont un est certifié ISO/IEC
27001:2013 attestant sa conformité aux normes internationales de sécurité informatique (ce
qui prouve le niveau de sécurité atténué)
Une situation régularisée à l’égard de la loi régissant la protection des données à caractère
personnel
Une nouvelle charte adoptée en matière de la politique suivie en matière des données
personnelles
Des engagements formelles pour protéger la vie privée et les données personnelles.
Coté cadre contractuel: des CG d’abonnement au services cloud déterminant les droits et les
obligations des parties.
Cela n’empêche qu’un cadre réglementaire cohérent et spécifique au Cloud Computing et un
système de veille réglementaire et juridique pourrait favoriser les avantages d’un tel service.
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 13
Avant de clôturer:
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 14
Merci de votre attention

Contenu connexe

Tendances

La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériques
marysesalles
 
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
Pramana
 
Commerce électronique en tunisie
Commerce électronique en tunisieCommerce électronique en tunisie
Commerce électronique en tunisie
YoussefGL
 
Intelligence économique
Intelligence économique Intelligence économique
Intelligence économique
MARCEL NIZON, Marcel
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
Antoine Vigneron
 
Conception et réalisation d’un crm
Conception et réalisation d’un crmConception et réalisation d’un crm
Conception et réalisation d’un crm
Bedis Larbi
 
Rapport de Stage -Finale.pdf
Rapport de Stage -Finale.pdfRapport de Stage -Finale.pdf
Rapport de Stage -Finale.pdf
WaelTOUMI2
 
Présentation Projet de fin d'études
Présentation Projet de fin d'étudesPrésentation Projet de fin d'études
Présentation Projet de fin d'études
Salah Eddine BENTALBA (+15K Connections)
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Hanen Bensaad
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Creation projet e commerce
Creation projet e commerceCreation projet e commerce
Creation projet e commerce
Khabbab HADHRI
 
Présentation PFE Hachem Selmi et Ahmed Dridi Big data
Présentation PFE Hachem Selmi et Ahmed Dridi Big data Présentation PFE Hachem Selmi et Ahmed Dridi Big data
Présentation PFE Hachem Selmi et Ahmed Dridi Big data
HaShem Selmi
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
La technologie Blockchain: Applications Dans Le Secteur Financier
La technologie Blockchain: Applications Dans Le Secteur FinancierLa technologie Blockchain: Applications Dans Le Secteur Financier
La technologie Blockchain: Applications Dans Le Secteur Financier
Hicham Hmimou
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Les défis de l'archivage numérique (Fr)
Les défis de l'archivage numérique (Fr)Les défis de l'archivage numérique (Fr)
Les défis de l'archivage numérique (Fr)
CABSIS Consulting Ltd
 
Mémoire sur les chatbots
Mémoire sur les chatbotsMémoire sur les chatbots
Mémoire sur les chatbots
Justine Doret
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation
 

Tendances (20)

La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériques
 
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
 
Commerce électronique en tunisie
Commerce électronique en tunisieCommerce électronique en tunisie
Commerce électronique en tunisie
 
Intelligence économique
Intelligence économique Intelligence économique
Intelligence économique
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
 
Conception et réalisation d’un crm
Conception et réalisation d’un crmConception et réalisation d’un crm
Conception et réalisation d’un crm
 
Rapport de Stage -Finale.pdf
Rapport de Stage -Finale.pdfRapport de Stage -Finale.pdf
Rapport de Stage -Finale.pdf
 
Présentation Projet de fin d'études
Présentation Projet de fin d'étudesPrésentation Projet de fin d'études
Présentation Projet de fin d'études
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Creation projet e commerce
Creation projet e commerceCreation projet e commerce
Creation projet e commerce
 
Présentation PFE Hachem Selmi et Ahmed Dridi Big data
Présentation PFE Hachem Selmi et Ahmed Dridi Big data Présentation PFE Hachem Selmi et Ahmed Dridi Big data
Présentation PFE Hachem Selmi et Ahmed Dridi Big data
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
La technologie Blockchain: Applications Dans Le Secteur Financier
La technologie Blockchain: Applications Dans Le Secteur FinancierLa technologie Blockchain: Applications Dans Le Secteur Financier
La technologie Blockchain: Applications Dans Le Secteur Financier
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Les défis de l'archivage numérique (Fr)
Les défis de l'archivage numérique (Fr)Les défis de l'archivage numérique (Fr)
Les défis de l'archivage numérique (Fr)
 
Mémoire sur les chatbots
Mémoire sur les chatbotsMémoire sur les chatbots
Mémoire sur les chatbots
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 

En vedette

Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
Antoine Vigneron
 
Empreinte digitale
Empreinte digitaleEmpreinte digitale
Empreinte digitale
Hejer Nouira
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
Antoine Vigneron
 
Cybersecurity isaca
Cybersecurity isacaCybersecurity isaca
Cybersecurity isaca
Antoine Vigneron
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
Antoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
polenumerique33
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon GartnerVoici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
Thibaut Watrigant
 

En vedette (8)

Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
Empreinte digitale
Empreinte digitaleEmpreinte digitale
Empreinte digitale
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
Cybersecurity isaca
Cybersecurity isacaCybersecurity isaca
Cybersecurity isaca
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon GartnerVoici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
 

Similaire à Cybersécurité & protection des données personnelles

Competitic gestion des données personnelles et obligations - numerique en e...
Competitic   gestion des données personnelles et obligations - numerique en e...Competitic   gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
COMPETITIC
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
African Cyber Security Summit
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Johan-André Jeanville
 
Exposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à impExposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à imp
Landry Kientega
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
RGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesRGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexes
Cap'Com
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
Mohamed KAROUT
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
foxshare
 
Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...
aclorrain
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'Internet
Franck Gauttron
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
polenumerique33
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
PECB
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
Umanis
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
TelecomValley
 
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdfCopy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
aitomarnazha
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donnees
Edouard DEBERDT
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
FrenchTechCentral
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loi
Société Tripalio
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
Claranet
 
Loi sur la protection des données personnelles senegal
Loi sur la protection des données personnelles senegalLoi sur la protection des données personnelles senegal
Loi sur la protection des données personnelles senegal
DOUMBOUYA Amadou Moustapha
 

Similaire à Cybersécurité & protection des données personnelles (20)

Competitic gestion des données personnelles et obligations - numerique en e...
Competitic   gestion des données personnelles et obligations - numerique en e...Competitic   gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Exposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à impExposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à imp
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
RGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesRGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexes
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'Internet
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdfCopy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donnees
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loi
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Loi sur la protection des données personnelles senegal
Loi sur la protection des données personnelles senegalLoi sur la protection des données personnelles senegal
Loi sur la protection des données personnelles senegal
 

Cybersécurité & protection des données personnelles

  • 1. Cybersécurité & Protection des Données Personnelles Mohamed MDELLAH Directeur Contentieux Tunisie Telecom Retour sur l’expérience de Tunisie Telecom
  • 2. Introduction I- De l’intérêt de la protection de l’information en général et des données à caractère personnel en particulier. Les enjeux de la sécurité des données : Sécurité des données informatiques, Ciblage de la population en fonction de leurs intérêts, Identification des données nécessaires à la protection de la santé, Secret des affaires, Marketing, veille concurrentielle, Recherche et développement, Traçabilité et preuve et Protection des données personnelles… etc Une réalité: l’émergence de l’information dans sa globalité a fait de celle-ci une source de l’économie moderne. Un but: La collecte, la propriété voire même l’expropriation de l’information permet une meilleure compréhension des situations. L’importance: Avec le développement des ordinateurs L’information a acquis une «une valeur marchande» et est devenu «un bien commercial» utilisé dans « les batailles » commerciales Favorisation de la confidentialité, L'intégrité, La disponibilité des données Le besoin/intérêt: la société, en tant que structure socio-économique, a prouvé un besoin et un intérêt à la protection des données à caractère personnel. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 2
  • 3. II- Pourquoi protéger les données à caractère personnel La collecte des données à caractère personnel n’est pas un phénomène nouveau mais l’évolution de l’automatisation à travers des ordinateurs à performance accrue a fait développer une activité lucrative connexe basée sur la collecte des données personnelles à l’insu même des personnes concernées Le traitement automatisé des informations en général et des données personnelles à des moyens informatiques divers a fait augmenter les risques d’accès non autorisées et aux manipulations inopinées de ces données (des buts autres que ceux énoncés). La perte de contrôle de ces données suite traitement par des ordinateurs non ou peu sécurisés rendant facile le vol de ces données La protection des données à caractère personnel est une porte à affranchir vers la sécurisation globale des informations/données. Le besoin se sent généralement sur le plan juridique (insuffisance des textes) 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 3
  • 4. Les fondements juridiques de la sécurité des données à caractère personnel De l’obligation nait le Droit et le droit Le Droit de la personne à une protection optimale de ses données personnelles La nécessité et l’obligation d’imposer aux structures qui collectent des données à caractère personnel de mettre en application les principes et les règles juridiques obligatoires. Des principes fondamentaux qui sont édictés dans des textes juridiques (Constitutions, Conventions Internationales, lois, décrets..) Textes Juridiques  les lignes directrices de l’OCDE adoptés le 23/09/1980 portant harmonisation des législation nationales relatives à la protection de la vie privée et les données personnelles et les flux transfrontalières des données à caractère personnel,  les lignes directrices de l’ONU adoptées le 14/12/1990, pour la réglementation des fichiers informatisés des données à caractère personnel,  la convention européenne du 28/01/1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel  la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données,  La convention africaine sur la cybersécurité et la protection des données à caractère personnel du 27/06/2014. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 4
  • 5. Sur le plan national  L'article 24 de la constitution (2014)  Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel.  Loi organique n°2012-23 du 20 décembre 2012 relative à l'instance supérieure indépendante pour les élections, article 23 faisant allusion à la législation relative à la protection des données personnelles  Loi organique n° 2013-43 du 23 octobre 2013, relative à l’instance nationale pour la prévention de la torture, Article 14 faisant allusion à la législation relative à la protection des données personnelles  Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel.  Décret n°2008-3026 du 15 septembre 20008 fixant les conditions générales d’exploitation des réseaux publics des télécommunications et des réseaux d’accès tel qu’il a été modifié et complété par le décret n°2014-53 du 10 janvier 2014 (Article 6 par. B, C et D)  Décret n°2013-4506 du 6 novembre 2013 relatif à la création de l'agence technique des télécommunications et fixant son organisation administrative, financière et les modalités de son fonctionnement (Article 2). 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 5
  • 6. Des principes interdépendants  Une obligation de sécurité (d’ordre légal): les données collectées doivent être protégées par des mesures de sécurité appropriées selon le degré et le niveau de leur sensibilité, l’entreprise, exposée à des risques et menaces à la sécurité, doit en mesure de contrôler l’accès.  La responsabilité de l’organisation des données personnelles qu’elle détient sous son contrôle  Justification des finalités de la collecte (à priori ou pendant l’opération),  Le consentement libre de l’individu à propos de la collecte, le traitement de ses données et sont à le retirer en tout temps sous réserves des restrictions légales  Limitation de la collecte au strict nécessaire pour atteindre les finalités déjà exprimées et fixées. Les données ne doivent être utilisées à des fins autres que celles approuvées et ne doivent être conservées que durant les périodes nécessaire à la réalisation des fins  La qualité des données collectées exige que les données collectées doivent être justes, exactes, complète et mises à jour  La transparence: l’organisation doit assurer à l’individu la disponibilité des données et lui faciliter l’accès  L’accès libre de l’individu à ses données collectées et la possibilité de contester l’exactitude et l’intégralité des données  Le droit de se plaindre du non respect des principes et l’obligation de l’organisation de faire l’enquête nécessaire pour déterminer les responsabilités et donner suite aux plaintes. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 6
  • 7. Retour sur L’expérience de Tunisie Telecom Pionnière du secteur des télécoms en Tunisie et en tant qu’opérateur global, Tunisie Telecom assure à sa clientèle une panoplie de produits, services de téléphonie, fixe et mobile ainsi que de l’internet en plus des prestations y attachés.  Procède de façon quotidienne à des opérations de collecte des Données à Caractère Personnel: – Directement à travers ses différents services compétents. – Indirectement à travers des sous-traitants (ex. les distributeurs, les FSI et les FSVA…)  A l’instar des autres entreprises, Tunisie Telecom assure la pérennité de ses biens et la protection de ses locaux à travers les moyens de vidéo-surveillance, Dans les deux cas, On se trouve devant des opérations de Traitement des données à caractère personnel soumises à des dispositions légales à respecter dont l’enjeu dépasse le simple devoir légal pour toucher la sécurité voire encore la réputation. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 7
  • 8. Retour sur L’expérience de Tunisie Telecom Attentive à ces prescriptions Tunisie Telecom n’a pas tardé à se conformer aux dispositions légales imposées par loi organique du 27 Juillet 2004 portant sur la protection des données à caractère personnel et le Décret du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel.  2 obligations majeures qu’elle a accomplie auprès de l’INPDP (art.7 et 69 de la loi) et a obtenu les décisions correspondantes: NB: TT est tenue, en cas de nécessité, de saisir l’Instance pour mettre à jour son statut en tant que responsable de traitement des données à caractère personnel 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 8
  • 9. Retour sur L’expérience de Tunisie Telecom  Elle a adopté récemment une charte de sécurité qui détermine les politiques spécifiques de sécurité de l’information y compris celle relative à la protection des données à caractère personnel basée sur les principes de PDCP à savoir; la finalité, la proportionnalité, la pertinence, la durée limitée de conservation des données, sécurité et confidentialité, transparence des données et au respect du droit de la personne à l’information, à l’accès, à la rectification et à l’opposition 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 9
  • 10. Retour sur L’expérience de Tunisie Telecom  Personnaliser l’accès pour la délimitation des responsabilité et pouvoir garder un droit de supervision sur les opérations de collecte et de traitement des données à caractère personnel,  Centraliser au niveau de la DCAJ, le traitement des requêtes et réquisitions de l’appareil judiciaire,  Mesures d’ordre interne ayant pour but de sensibiliser les employés de TT de l’importance de la collecte et du traitement des données à caractère personnel et de devoir à leur préserver la diligence nécessaire,  Limiter l’accès aux applications dédiées, aux employés compétents sous condition d’obtenir au préalable auprès de la DCSI des log in et MP,  Prendre les mesures nécessaires à l’égard des contrevenants. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 10
  • 11. Les problématiques liées au Cloud Computing Le Cloud Computing est un mode évolué de traitement des données (sur Internet ou au sein d’un Réseau Privée Virtuel) à travers la location des capacités de (stockage, logiciel, environnement…) En raison de sa structure, différents types de risques doivent être pris en considération y compris ceux d’ordre juridique:  la perte de contrôle sur les données  Non respect des dispositions légales  Usage abusif des données  La détermination des personnes du responsable de traitement et du sous-traitant  La garantie d’un niveau de protection des DP en cas de transfert des données à l’étranger  Le droit applicable En raison de l’absence d’un cadre réglementaire spécifique au Cloud Computing, il faut se référer au cadre général en la matière à savoir la loi du Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel. La nécessité d’un cadre contractuel fiable qui:  - Matérialiser les exigences de sécurité et de confidentialité  - assurer l’exercice des droits des parties  - Définir clairement les responsabilités  - Déterminer les juridictions compétentes 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 11
  • 12. Les réponses juridiques aux problématiques liées au Cloud De point de vu droit des données à caractère personnel, le traitement des données personnelles découlant du Cloud Computing impose au prestataire de:  Se conformer entièrement aux dispositions légales et aux clauses contractuelles de même que le sous traitant  Superviser/contrôler le sous-traitant étant donné que les rapports prestataire/Sous traitant ne sont pas transmis à l’utilisateur de service.  Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles  Assurer la confidentialité, la disponibilité et l’intégralité des données personnelles  L’utilisateur doit avoir le droit d’accès, de rectifier et d’effacer ses données à tout moment et dans le respect total des dispositions légales en vigueur 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 12
  • 13. Position de Tunisie Telecom? Des services cloud offerts depuis le 16 juin 2015 avec, une capacité d’hébergement à travers ses (3) Data Center dont un est certifié ISO/IEC 27001:2013 attestant sa conformité aux normes internationales de sécurité informatique (ce qui prouve le niveau de sécurité atténué) Une situation régularisée à l’égard de la loi régissant la protection des données à caractère personnel Une nouvelle charte adoptée en matière de la politique suivie en matière des données personnelles Des engagements formelles pour protéger la vie privée et les données personnelles. Coté cadre contractuel: des CG d’abonnement au services cloud déterminant les droits et les obligations des parties. Cela n’empêche qu’un cadre réglementaire cohérent et spécifique au Cloud Computing et un système de veille réglementaire et juridique pourrait favoriser les avantages d’un tel service. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 13
  • 14. Avant de clôturer: 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 14
  • 15. Merci de votre attention