Le document aborde les enjeux de la protection des données sensibles, notamment les récents incidents de violations de données et les responsabilités des entreprises concernant la sécurité informatique et la vie privée. Il souligne l'importance de la conformité aux réglementations, les risques opérationnels associés à la perte de données et la nécessité d'obtenir le consentement éclairé des utilisateurs. En outre, il présente les droits des consommateurs en matière de données personnelles, ainsi que les meilleures pratiques en matière de sécurité organisationnelle et technique.

1. Êtes-vous prêt à assumer les risques de données sensibles peu protégées, d'une sécurité informatique insuffisante et du non-respect des lois sur la vie privée ? Louvain-La-Neuve, Cercle du Lac, le 20 janvier 2010 Jacques Folon Partner Just In Time Management Professeur à l’ICHEC – ISFGSC – IHECS Professeur invité Université de Metz

2. La présentation powerpoint est à votre disposition sur www.slideshare.net/folon

3. http://www.villiard.com/images/informatique/vie-privee/vie-privee.jpg Ou en sommes nous aujourd’hui en ce qui concerne la protection des données ?

4. Recent local data breaches by Charles Mok Internet Society Hong Kong 09.04 / United Christian Hospital / Doctor lost USB drive / 8 patients 09.03 / United Christian Hospital / Doctor lost USB drive / 47 patients 09.03 / Open University / Staff lost USB drive / undisclosed # of students 09.03 / HK Police / 70 internal documents on Foxy 09.02 / SCAA / Players and coaches salaries for past 10 yrs on Foxy 09.02 / HK Police / Personnel files lost in auxiliary police file cabinet 09.02 / Fire Services / 20 personnel/appraisal reports etc on Foxy 09.01 / Hawk Control, FEHD / USB drive w/ internal docs found on bus 08.12 / Social Welfare Dept / USB drives lost / 63 clients/109 data subjects 08.11 / BEA / Customer statements trashed, used to wrap flowers 08.07 / HSBC / 25,000 customers' conversations on tapes lost in mail

5. Recent local data breaches...more 08.06 / Customs & Excise Dept / Internal doc & statement found on Foxy 08.06 / Immigration Dept / Confidential file taken home by staff to familiarize himself with procedures, found on Foxy 08.05 / Census & Statistics Dept / USB drive lost / 2 companies' data 08.05 / HK Police / Info about undercover operations, appraisal report and ICAC job description on Foxy 08.03 /HSBC / Server lost in Kwun Tong branch during renovation 08.04 / Civil Service Bureau / USB drive lost 08.04 / HK Police / Documents found on Foxy 08.04 / Civil Aviation Dept / Documents found on Foxy 08.04 and before / Hospital Authority / over 10 cases involving loss of USB drives, digital cameras, notebook, PDA, MP3 players, etc.

6. You think that's bad? Wait... 09.04 / Moses Cone Hospital (Greensboro, NC) / 14,380 patients' data stolen on notebook 09.04 / Peninsula Orthopaedic Associates / Tapes with 100,000 patients' data stolen 09.04 / Tennessee Dept of Human Services / Employee caught selling personal data / 1,178 people 09.04 / Borrego State Bank (CA) / 7 notebook PCs stolen from audit firm 09.04 / Hawaii Transport Dept / Computer stolen / 1,892 driver license holders 09.04 / Nashville Schools (TN) / Contractor put student data on unsecured web server / 18,000 students 09.04 / City of Culpeper (VA) / Contractor exposed 7,845 taxpayers data on Internet 09.02 / Arkansas Dept of Info Systems / Computer tapes lost / 807,000 people http://www.privacyrights.org

7. ...and there're more... 09.01 / Merrill Lynch (NY) / Contractor burglarized, losing a computer containing unknown number of staff info 09.01 / Pepsi (NY) / Portable storage device lost w/ unknown # of staff data 09.01 / CheckFree (Atlanta, GA) / Hackers took over domains and redirected customers to phishing site in the Ukraine. At least 16,000 customers are believed to be affected, but company warned 5 million customers. 09.01 / Genica/Geeks.com (Oceanside, CA) / Data of unknown number of e-commerce site customers, incl. credit card numbers, stolen by hacker 09.01 / U of Rochester (NY) / 450 students info incl SS# hacked 09.01 / Columbus City Schools (OH) / Police raid uncovered 100 city employees' personal info, believed to be intercepted in mails 09.01 / Heartland Payment (NJ) / Cyberfraud compromised over 100M transaction records http://www.privacyrights.org

8. ...by everyone (just 2009) Univ of Oregon / unknown Seventh Day Adventists /292 Continental Airlines / 230 Forcht Bank (KY) / 8,500 Charleston Health Dept (WV) / 11,000 Missouri State U / 565 Monster.com / unknown US Military / 60 US Consulate (Jerusalem) Indiana Dept of Admin / 8,775 phpBB.com / 400,000 ComCast / 4,000 http://www.privacyrights.org Kaiser Permanente (CA) / 30,000 Kaspersky, Symantec / unknown Parkland Memorial Hospital (TX) / 9,300 Federal Aviation Dept / 43,000 U of Alabama / 37,000 Wyndham Hotels / 21,000 CVS Pharmacies / unknown Walgreens / 28,000 New York Police / 80,000 Idaho National Lab / 59,000 Google (doc users) / unknown US Army / 1,600

9. SOURCE : http://www.20min.ch/ro/multimedia/stories/story/22206398

12. AVANT

13. Ce que les patrons croient…

14. En réalité…

15. Ou sont les données?

16. Tout le monde se parle !

17. Les employés partagent des informations

19. Source : https://www.britestream.com/difference.html .

22. La transparence est devenue indispensable !

23. Comment faire pour protéger les données?

24. 60% des citoyens européens se sentent concernés La découverte des vols de données se fait après-coup! La protection des données est un risque opérationnel => observé par les investisseurs La connaissance de ses clients est un atout (CRM) La mise en conformité de la sécurité avec la protection de la vie privée est obligatoire et indispensable

25. Quels sont les risques? Perte de réputation (procès, articles,…) Les médias en parlent systématiquement Vol de données de clients, d’employés, d’administrateurs, … Perte de confiance des clients Sanctions pénales et civiles On en parlera !

26. Contexte juridique

27. Trois définitions importantes

28. Qu’est-ce qu’une donnée personnelle? Qu’est-ce qu’un traitement? Qu’est-ce qu’un responsable de traitement?

29. Donnée personnelle On entend par "données à caractère personnel”: toute information concernant une personne physique i dentifiée ou identifiable, désignée ci-après "personne concernée"; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs É léments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale

30. Par "traitement", on entend toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés A utomatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de données à caractère personnel. Traitement de données

31. Par "responsable du traitement", on entend la personne physique ou morale, l'association de fait ou l'administration publique qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel . Responsable de traitement

32. Loyauté Finalité Proportionalité Exactitude des données Conservation non excessive Securité Confidentialité Finalité expliquée avant le consentement Information à la personne concernée Consentement indubitable (opt in) D é claration à la commission de la vie privée Responsabilités du “responsable de traitement »

33. Responsabilités du “responsable de traitement” Loyauté Soyez honnête et correct avec la personne concernée Proportionnalité Pas de demande d’informations non nécessaires Maintien de l’exactitude des données: Mutapost par exemple

34. Conservation raisonnable Les données doivent être détruites après la période strictement indispensable à la finalité (Jeux-concours, enquête, etc.) Sécurité Légale, organisationnelle & technique Confidentialité employés et sous-contractants Finalité expliquée avant le consentement Et n’oubliez pas la loyauté ! Responsabilités du “responsable de traitement”

35. Responsabilités du responsable de traitement Information à la personne concernée Liste des informations nécessaires (nom, adresse, contact, policy, etc.) Consentement indubitable Opt-in on line et opt-out off-line N’oubliez pas de garder les preuves d’inscriptions! D é claration 19/01/10

36. Droits du consommateur 6 PRINCIPES: Droit d’accès Droit de rectification Droit de refuser le marketing direct Droit de retrait D roit à la sécurité A cceptation préalable

37. Droits des personnes concernées 6 PRINCIPES: Droit d’accès: maximum 45 jours pour répondre Toute l’information Droit de rectification: En cas d’erreurs Dans le mois de la demande 3. Droit de refuser le marketing direct Pas de contact via e-mail, telephone, … Pas de transfert à des tiers

38. Droits des personnes concernées 4 . Droit de retrait Liste Robinson ABMD: - Liste Robinson interne par produit ou par client 5. Acceptation préalable Publicité par fax Publicité par appel automatique Publicité par e-mail 6. S écurité des donn ées

39. Données reçues et transférées

40. Informations sensibles

41. Informations sensibles Race Opinions politiques Opinions religieuses ou philosophiques Inscriptions syndicales Comportement sexuel Santé Décisions judiciaires

43. OPT IN sur Internet Obligatoire Le propriétaire de la banque de données doit être capable de prouver que l’opt-in a bien eu lieu !! Exceptions selon les législations

44. Comment obtenir le consentement?

46. Pas d’opt in nécessaire pour: Client Services ou produits analogues Possibilité de refuser info@abcd.be

47. SPAMMING http://blog.dolphinpromotions.co.uk/general/seo-companies-stop-spamming-us-rant/102 Spamming

48. Courrier électronique non sollicité L'utilisation du courrier électronique à des fins de publicité est interdite, sans le consentement préalable, libre, spécifique et informé du destinataire des messages. Lors de l'envoi de toute publicité par courrier électronique, le prestataire : 1° fournit une information claire et compréhensible concernant le droit de s'opposer, pour l'avenir, à recevoir les publicités; 2° indique et met à disposition un moyen approprié d'exercer efficacement ce droit par voie électronique.

49. Lors de l'envoi de publicités par courrier électronique, il est interdit : 1° d'utiliser l'adresse électronique ou l'identité d'un tiers; 2° de falsifier ou de masquer toute information permettant d'identifier l'origine du message de courrier électronique ou son chemin de transmission. La preuve du caractère sollicité des publicités par courrier électronique incombe au prestataire.

50. Cookies

51. Transferts de données transfrontaliers

52. S é curit é

55. Le maillon faible…

56. Sécurité organisationnelle Département sécurité Consultant en sécurité Procédure de sécurité Disaster recovery

57. Sécurité technique Risk analysis Back-up Procédure contre incendie, vol, etc. Sécurisation de l’accès au réseau IT Système d’authentification (identity management) Loggin and password efficaces

58. Sécurité juridique Contrats d’emplois et information Contrats avec les sous-contractants Code de conduite Contrôle des employés Respect complet de la réglementation

59. Qui contrôle quoi ?

60. Que peut-on contrôler? Limites? Correspondance privée Saisies sur salaire Sanctions réelles Communiquer les sanctions?

61. Contrôle des employés : équilibre Protection de la vie privée des travailleurs ET Les prérogatives de l’employeur tendant à garantir le bon déroulement du travail

62. Peut-on tout contrôler et tout sanctionner ?

63. Principe de finalité Principe de proportionnalité

64. Les 4 finalités Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires

65. Les 4 finalités 3 La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise 4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise

66. sanctions Cohérentes Légales Zone grise Réelles Objectives Syndicats

67. Sécurité et sélection Screening des CV Avant engagement Final check Antécédents Quid médias sociaux, Facebook, googling, etc? Tout est-il permis?

68. Quels sont les risques ? 19/01/10 Jacques Folon -LSGI

77. RÖLE DU RESPONSABLE DE SECURITE

78. Alors quand un patron pense à ses données il est zen ?

79. Ou plutôt?

81. Méthodologie http://www.sunera.com/typo3temp/pics/f43202fdda.jpg

82. Espérons que la sécurité de vos données ne ressemble jamais à ceci !

83. Jacques Folon + 32 475 98 21 15 j [email_address] www.jitm.eu

84. QUESTIONS ?