Player is loading...
Mesures techniques pour se mettre en conformité avec la nLPD
Gaëlle Goareguer & Alexandre Courois, Resp: Consultante en Systèmes d'information -- Sous-Directeur Audit et Conseil en systèmes d'information, BDO
Friday, Sept. 1, 2023 · 8:57 a.m. · 29m 23s
Embed
Transcriptions
Note: this content has been automatically generated.
00:00:01
merci n un d'eux en ce premier septembre est
00:00:05
d'abord aborder quelques notions importantes de la LPV
00:00:10
et ensuite mon collègue alexandre un talent à des mesures recommandées
00:00:15
et elle mesure technique et organisationnel pour un
00:00:19
assuré cette mise en conformité avec la dignité
00:00:27
donc dans un premier temps question christine données personnelles
00:00:31
100 simplement toutes les informations concernant une
00:00:34
personne identifiée ou identifiable directement ou indirectement
00:00:39
que ce soit à son nom son immatriculation son adresse i. p. et ses caractéristiques
00:00:46
et munitions ensuite très important dans l'année aider cette notion de traitement
00:00:53
finalement ce sont toutes les opérations relatives aux données personnelles quelles que
00:00:57
soient les moyens et les procédés utilisés qu'on parle ici des collectes
00:01:03
d'enregistrement de conservation d'utilisation de communication mais
00:01:09
aussi d'archivage dépassement et des destructions de la donnée
00:01:14
donc ça sent introduit aussi la notion de profil
00:01:19
âge ici ça sera toute forme de traitement automatisé des données
00:01:24
pour évaluer certains aspects personnels relatifs à une personne physique
00:01:29
pour analyser des éléments tels qu'eux le rendement au travail
00:01:34
la situation économique de la personne les aspects sur sa santé
00:01:38
les préférences personnelles les intérêts la sociabilité le comportement
00:01:43
ou la localisation et les déplacements de cette personne physique
00:01:49
parmi les profils agenda ainsi les profils âge à risque élevé donc ici c'est
00:01:54
vraiment à eux d'un risque pour les
00:01:57
droits fondamentaux d'une personne physique notamment
00:02:02
parce que ces informations permettent d'apprécier les caractéristiques essentielles de la personnalité donc
00:02:08
ici une interprétation qui est nécessaire car
00:02:11
elle peut engendrer une délimitation des limitations négative
00:02:16
et c'est pourquoi vous devez obtenir le consentement exprès requis de la
00:02:20
personne qui veut auprès de qui vous effectuer ces types de profil h.
00:02:27
donc pour identifier vos données personnelles sensibles les délais de confidentialité
00:02:33
à mon avis n'est d'abord les données sur
00:02:36
les opinions ou des activités religieuses philosophiques politiques ou bien syndicale
00:02:43
les données sur la sphère intime sur l'origine raciale ou ethnique des personnes
00:02:48
les données génétiques les données biométriques permettant d'identifier une personne de manière univoque
00:02:55
mais si les données sur les poursuites pénales ou administratives
00:03:00
et enfin sur les mesures d'aide sociale desquels une personne physique bénéficiait
00:03:07
donc on parle d'atteinte à un a. aux droits
00:03:10
fondamentaux lorsque ces données sont transmises à des tiers sans consentement
00:03:15
de la personne qui donc parmi ses données personnelles pour vous donner un
00:03:20
institut essaient de gagner des confidentialité on a tout d'abord les données dites
00:03:26
un ouverte avec eux des données de connexion non significative
00:03:33
un an en site des adresses professionnelles eux qui construisent
00:03:38
donc qui va qui fait public par les personnes physiques
00:03:41
les correspondances professionnels les photos pour affaires dans la sphère privée entre
00:03:46
eux des informations telles que les dates d'anniversaire la grèce trier
00:03:51
un des photos privées et des informations des paiements auprès d'une banque
00:03:57
un enfant dans la les domaines beaucoup plu confidentiel on aura l'effet détaillée la personne
00:04:04
un les données salariale et puis des données
00:04:08
concernant les létat de santé de la personne physique
00:04:14
donc pour se mettre à eux en conformité avec cette nouvelle
00:04:19
loi il est recommandé dans un premier temps de définir les responsabilités
00:04:24
avec la désignation d'un responsable de projet d'établissement d'un cahier des charges
00:04:31
la définition des responsabilités que ce soit au conseil d'administration ou auprès de la haute direction
00:04:38
dans un deuxième temps ou peu il vous est conseillé de
00:04:40
mettre des ressources à disposition de votre équipe en impliquant à
00:04:45
vraiment tout les services qui traitent des données donc c'est
00:04:49
vraiment l'affaire de toutes les opérations effectuées par l'entreprise
00:04:54
et puis un soutien interne et externe avec la définition d'un budget
00:04:59
et peutêtre appel à des spécialistes sur eux sur la question si vous n'avez pas les
00:05:05
les connaissances en interne la deuxième grande étape sera vraiment d'
00:05:09
établir un plan d'action un avec une vue d'ensemble
00:05:14
donc c'est là qu'on aborde le thème
00:05:17
de dirigiste réactivité traitement avec l'évaluation des risques
00:05:21
et la documentation des mesures organisationnelles et techniques pour minimiser ces risques
00:05:28
et pour les risques un résiduel et les plus élevés il vous sera indiqué
00:05:33
de définir des mesures supplémentaires pour réduire le niveau de risque à un niveau acceptable
00:05:40
enfin le dernier point sera sur la mise en place des processus donc un caisson
00:05:47
et vous sera demandé de définir une politique de confidentialité des procédures et des processus
00:05:53
pour procéder à l'annonce de viols et des
00:05:56
violations auprès des réglementations et eux des acteurs externes
00:06:02
dans les caisses et de demain le d. a. par eux à des
00:06:05
client des données desquels vous disposez eux sur leur compte vous avez
00:06:12
un délai de 3 jours pour leur remettre l'intégralité des avant l'information dont
00:06:17
vous disposez et enfin sur la conception de
00:06:21
systèmes teissier eine notion de travail décida et défault
00:06:26
0 un travail si
00:06:31
by design inc là où finalement toutes ces questions de
00:06:36
des traitements des données dans les données système serve à intégrer dès la conception
00:06:41
et non comme des briques age 4 est fort à revenir à un niveau de risque acceptable
00:06:48
donc dans la chronologie des travaux on a tout d'
00:06:51
abord cette définition des responsabilités et l'établissement d'un plan
00:06:55
avec le procès 6 points sida auprès du préposé fédéral à la protection
00:07:01
des données à la transparence les processus pour les droits des personnes concernées
00:07:07
donc bien connaître et les données dont vous disposez en cas de
00:07:12
demande de pouvoir les délivrer ces informations la dans un délai 30 jours
00:07:17
et enfin le registre des activités traitement pour avoir une bonne connaissance
00:07:21
un des différentes les différents traitements vous pouvez effectuer
00:07:27
dans un deuxième temps nous avons évaluation des risques la
00:07:30
définition des meilleurs la vérification des contrats avec vos prestataires
00:07:36
et enfin à enfin vous avez effectué toute sa obtenir le
00:07:40
consentement des clients la sensibilisation et la formation de vos collaborateurs
00:07:46
qui restent eux lima reste le maillon le plus faible dans la chaîne sécurité l'environnement
00:07:53
hélas à sienne documentation donc avec la rédaction de procédures et des politiques
00:07:58
et d'autres mesures pour avoir par la suite avec un reporting régulier finalement
00:08:04
comment estce que vous assurer que les mesures mis en place sont bien efficace
00:08:09
et comment estce que le conseil d'administration on contrôle l'efficacité de ses missions
00:08:17
donc pour le registre des activités traitement finalement lorsque vous impliquer les
00:08:22
différents services ici un vous alliez va indiquer l'objectif de ces traitements
00:08:28
si oui a lieu d'un transfert des données dans un pays tiers et ciblées
00:08:34
et la définition aussi d'un délai de suppression des ces données
00:08:39
il faut également inclure les catégories des personnes concernées
00:08:43
les types de données et destinataires de ces données
00:08:47
la rentrée un aspect plus en détail ici un
00:08:51
fait vraiment ces registres des traitements qui vous permettra d'
00:08:54
avoir une analyse des risques efficace et définir votre
00:08:58
priorité dans la mesure dans la définition de vos mesures
00:09:02
ici pour rappel il sera obligatoire d'indiquer le responsable du traitement
00:09:08
à la finalité du traitement les catégories de
00:09:10
personnes concernées les catégories des données personnelles des destinataires
00:09:15
direct conservation les mesures techniques et organisationnelles signaler des transferts à l'
00:09:20
étranger et dans les cas de transfert à l'étranger des pays
00:09:24
es ce qu et ces pays aux législations qui et aligné
00:09:28
avec les exigences de la nouvelle loi sur la protection des données
00:09:32
ici ce n'est pas le cas quelles sont les garanties que vous mettez en place pour vous assurer que ces exigences sont respectées
00:09:39
ou pour vous aider à effectuer cette évaluation des risques plusieurs facteurs à prendre en
00:09:45
compte pour définir notamment les conséquences donc si vous traiter des données sensibles ou non
00:09:51
si le traité des grandes quantités de données ont fini avait
00:09:56
des motifs justificatifs esquer cessant des données que vous collectez
00:10:01
dans le cadre de conformité réglementaire bien pour
00:10:06
eux un pays à l'essence même de votre activité
00:10:10
pour les probabilités d'occurrence ici avoir gardé si vous ne sont
00:10:14
pas d'une application du nombre d'utilisateurs si vous avez des connexions depuis
00:10:19
depuis l'étranger si vous avez des tiers impliqués si vous faites appel à des consultants ou bien si
00:10:26
faible développement et qui estce qui a accès à vos données et puis des transferts dans les pays tiers
00:10:34
donc parmi les mesures techniques et organisationnelles brièvement à eux la notamment
00:10:39
la limitation des accès et l'accès des humiliations alexander viendra plus tard
00:10:44
et pour eux en ce qui concerne la vérification des accords de soustraitance avec le prestataire
00:10:51
ici et sera vraiment important de revoir les clauses
00:10:55
de confidentialité et la responsabilité d et respect de
00:10:59
la LPD vous revient toujours à finalité
00:11:04
donc vous devez connaître et à eux les soustraitants de
00:11:07
soustraitants vous pouvez demander à vos soustraitants leurs registres
00:11:13
des activités traitement n s k votre de
00:11:18
soustraitants n défini par une procédure en cas
00:11:23
d'information en cas de demande de vos clients
00:11:27
ce qui sont en mesure de vous remettre ces données et de vous aider à collecter ces données
00:11:33
ce qui prennent en charge ces coûts ou estce que ce sera un effort qui vous sera demandé
00:11:37
et enfin les règlementations supplémentaires dans le cas d'application de pays tiers
00:11:45
donc si c'est vraiment la régie des clauses standard pour
00:11:49
assurer la documentation donc documentation d'une politique de confidentialité
00:11:55
on parle aussi de d'analyse d'impact des définitions de délais des suppressions
00:12:01
par procès dire et puis de l
00:12:05
le plan de communication dans le cas de violation des données auprès des autorités léguée
00:12:12
et à d'autres types des désirs donc chez eux
00:12:16
ne peut parler par exemple de 40 si aucun transfert à
00:12:21
l'étranger et la mise en place aussi de d'audits réguliers
00:12:24
que ce soit par le biais des 10 des vulnérabilités réseaux etc
00:12:30
mais il est sans effet font entrer plus en détail avec eux les mesures techniques et organisationnelles
00:12:44
bonjour à toutes et tous
00:12:47
l'orgueil le manuel introduit l'un produit le cas dans moi je vais vous parler un peu plus
00:12:53
en détail des mesures techniques organisationnelles je le rappelle on
00:12:57
a à ce momentlà définit un registre des traitements
00:13:01
on a on a défini nos risques et bah c quelles mesures
00:13:07
techniques et organisationnelles on a décidé de mettre en oeuvre pour couvrir ces risques
00:13:13
donc on a différents types de différents types de risques qui touche aux fins
00:13:17
de différents types de mesures pardonnez moi qui touche à la fois la confidentialité
00:13:22
à la traçabilité et la disponibilité intégrité des données
00:13:26
donc quand on parle de confidentialité typiquement sait comment je comprend l'accès à mes données
00:13:32
c. comment je contrôle l'accès à mes données amé locaux physiquement
00:13:38
et puis que l'utilisation et quelles sont les mesures que je
00:13:42
met en oeuvre pour contrôler l'utilisation de deux sets de ces données
00:13:47
s'agissant de la traçabilité c. bas les contrôles à
00:13:51
la saisie les contrôles de la communication je fais mes données
00:13:55
les contrôles d'identification et puis de bas de réparation
00:14:00
en cas de violation sur eux sur les données sensibles
00:14:04
et puis sur les disponibilités sympa extrêmement important
00:14:08
contrôle des supports de sauvegarde contrôle de la
00:14:13
mémoire puisque dans la mémoire sont stockées les données et il convient aussi de contrôler ses aspects la
00:14:19
le contrôle du transport de la donner eux un autre point important parce qu'
00:14:24
il a évoqué ça en tout début un de ses clients qui avait perdu
00:14:28
eux qui avaient fait l'objet d'un dumas taxi vert
00:14:31
on a souvent tendance à négliger la partie restauration notamment
00:14:36
quant au fait que des sauvegardes sur des supports physiques je
00:14:39
recommande très fortement de d'attacher d'importance à ce point
00:14:45
on ne contrôle pas uniquement des restaurations sur eux sur des supports logique mais il
00:14:51
conquit compris sur le support physique on peut souvent avoir des mauvaises surprises en la matière
00:14:56
le contrôle d'intégrité et puis la sécurité des systèmes donc on
00:15:01
va on va entrer dans le détail de chacune des mesures un an
00:15:04
à certaines sur lesquelles ma très plus que d'autres face mais on
00:15:07
profitera de la séance de questions réponses si toutefois vous avez des questions
00:15:11
un gel a rappelé en fonction des traitements qu'on
00:15:16
peut avoir eux avoir à gérer plus ou moins de volume et
00:15:19
tri données on va devoir à donner accès à ces données
00:15:23
à différentes personnes différentes sueur et forcément il faut qu'on adapte
00:15:28
la gestion des droits d et d
00:15:32
et d accès en fonction différents traitements
00:15:36
en plus on donne d'accès aux données plu à priori
00:15:40
il va falloir un contrôle très censure sur les sur les droits
00:15:45
généralement on recommande aussi mais ça c'est pas forcément
00:15:48
propres à la LPV 7 séparer les activités de
00:15:52
d'autorisation sur les droits donc 3 c. ces droits ont
00:15:56
on évite que se soit fait par là même le même
00:15:59
le même la même personne et puis de là aussi quelque chose
00:16:03
d'autres états parties à la crème et qu'on voit très régulièrement
00:16:07
c'est la présence de nombreux comptes générique car parfois on peut pas les éviter
00:16:11
mais très souvent ce que nous ont commencé quand deux limiter autant
00:16:16
que faire se peut l'utilisation de ses congénères et donc c'est
00:16:21
lle pendant ces débats dont eux d'avoir
00:16:24
d compte utilisateur propres à chaque personne physique
00:16:31
et puis un point important mais qu'elle a introduit donc
00:16:36
pas forcément revenir dessus c'est la pseudo minimisation qui s'applique la
00:16:40
eux qui comprit pour vous même et puis
00:16:43
pour les utilisateurs externes à votre organisation eux
00:16:49
déjà ce niveau là on raisonne au niveau de la de la sécurité en parlant de pseudo minimise pseudonyme isolation
00:16:56
les contrôles accès physique j'en ai déjà parlé c.
00:17:00
effectivement bas s'assurer qu'eux l'accès à la donnée sur les
00:17:05
serveurs ben limité aux bonnes personnes
00:17:10
donc ça fait typiquement partie des choses que
00:17:12
on regard mettre en place des dispositifs de vidéosurveillance par exemple certains
00:17:17
en bons moyens de s'assurer que n'importe qui n'
00:17:20
acceptent pas eux au serveur php où sont hébergés nos données sensibles
00:17:26
ça fait partie de mesures que vous devez mettre en oeuvre
00:17:31
et évidemment et je le rappelle elle s'applique pas ce que je vais beaucoup insisté làdessus
00:17:37
elle s'applique pour vous même pour les traitements qui concerne le
00:17:41
votre organisation mais évidemment et en lien avec eux avec les lilas soustraitance
00:17:48
ce sont des mesures que vos soustraitants eux doivent logiquement avoir mis en oeuvre
00:17:57
les mesures sur la partie contrôle utilisation non classé vraiment
00:17:59
surveillance eux ces jeux de données
00:18:03
bonne autorisation bonnes personnes première chose et puis surtout
00:18:09
je surveille leurs activités notamment contre ce sont devenus des accès de privilégiés
00:18:12
et on insiste passé j'ai pas fait et j'aurais dû aussi le dire plutôt sec
00:18:19
vous avez de la donnée vous disiez accéder à travers vos applications
00:18:24
mais on a tendance à parfois oublié ce que moi j'appelle les couffin
00:18:29
ce qu'on appelle les couches vaste addis abeba les bases de données et puis les systèmes d'
00:18:34
exploitation des serveur qui héberge ses données ce sont
00:18:38
des portes d'entrée pour accéder aux données sensibles donc
00:18:43
quand on fait les cantons met en place les dispositifs notamment sur les
00:18:46
sur la sécurité logique il faut raisonner non pas uniquement à travers
00:18:51
l'application mais à travers également les couches basses que j'évoque
00:18:55
d'autres principes d'authentification forte donc là c'est pas
00:19:00
forcément propre à eux au sujet de la l. p. d'aimer
00:19:05
effectivement quand on quand on veut
00:19:08
renforcer sa protection on parle d'eux
00:19:12
d'authentification à plusieurs facteurs et ça fait typiquement parti de choses qu'il faut
00:19:16
il faut pouvoir mettre en place et qui va évidemment in politique
00:19:21
de mot de passe l qui tienne la route euro suffisamment robuste
00:19:24
la tendance allant a allongé le mode passer à l'complexifier
00:19:29
a réduit eux finalement la périodicité de changement de ce mot de passe
00:19:35
le évidemment les poulets contrôle qui vise à se prémunir contre
00:19:42
les les connexions inapproprié au réseau et puis
00:19:47
bah même chose j'évoquais les civils et les systèmes d'exploitation il faut pouvoir
00:19:52
contrôler les fonctions du système d'exploitation on a tendance à oublier un peu trop souvent
00:19:58
un autre notion importante quand on parle de confidentialité
00:20:05
intégrité 7 chiffrement donc là je vais passer rapidement mais
00:20:10
voilà canton transporte de la donnée qu'on constate de la donnée
00:20:13
où que ce soit comprise dans la mémoire
00:20:18
eh bien il faut pouvoir procéder au chiffrement
00:20:22
et évidemment il faut penser à la gestion des clés de chiffrement ce vers quoi se dire que
00:20:26
typiquement bah où se trouve stocker les
00:20:31
clés de chiffrement qui eux qui axé typologie rés
00:20:34
donc là derrière eux encore une fois sur ceux sur ce sujet les problématiques de gestion des accès
00:20:37
ce que si on chiffre mais que n'importe qui peut accéder au culte chiffrement ça peut être problématique
00:20:45
évidemment les mesures qui visent à s'assurer
00:20:51
que le support de données sont correctement
00:20:56
surveiller et donc bah généralement on recommande de
00:21:02
stocker les médias dans des locaux spéciaux eux ont
00:21:06
recommande également de mettre en place un processus qui vise à
00:21:11
les détruire eux de manière très contrôlée la donnée quand
00:21:15
on a un serveur média quelqu'il soit qui est en fin
00:21:20
de vie on doit mettre en place un processus qui
00:21:24
vise à détruire la donnée qui et stockés
00:21:27
eux même chose concernant la mémoire parce que là aussi on a
00:21:33
tendance à oublier ce la donnée mais pas seulement stockées sur
00:21:36
des supports met en mémoire donc là aussi un certain nombre de
00:21:40
mesures qui sont mentionnés à eux qui eux doivent être prises en compte
00:21:43
s. le transport j'en ai déjà parlé donc ces bons
00:21:51
la définition de canaux numériques est de voir du transport physique
00:21:55
l'utilisation autant que possible signature électronique le certificat de données
00:22:00
et puis évidemment et factuelle à rappeler puisqu'elle introduit la notion de cycle de vie d'une donnée
00:22:05
deux puis finalement sa collecte jusqu'à sa destruction
00:22:11
à partir du moment où une donnée sensible ne surplus
00:22:16
elle doit faire l'objet de d'une suppression
00:22:19
et puis évidemment je reviens sur le sujet décryptage mais la communication sans fil fait partie de choses qui doivent être
00:22:24
qui doivent être contrôlés
00:22:31
un pour les mesures disponibilité d'intégrité toujours donc on
00:22:35
a plusieurs mesures sur eux sur les sur la restauration
00:22:41
évidemment il faut s'assurer qu'on
00:22:45
a des procédures de sauvegarde que cellesci sont
00:22:48
finalement adéquat et correspondre bah
00:22:52
la donnée conçoit que l'on souhaite
00:22:57
de sauvegarder et puis qu'on a des processus de récupération là aussi
00:22:59
je vois trop souvent le cas de clients qui sauvegarde mais qui sont peut être
00:23:04
parfois trop confiants et qu'ils ne font jamais
00:23:09
ni de thèses de restauration ni de thèses de récupération
00:23:12
et donc au moment où on incident survient le sont pas toujours en capacité de pouvoir le faire
00:23:16
la mise en place d'un plan d'urgence pour la
00:23:23
ti donc on en cas d'eux en cas de sinistre
00:23:26
et puis bas pour l'intégrité spécifiquement eux s'assurer qu'on a des redondances
00:23:30
des systèmes de sauvegarde d'un éventuellement dans différents lieux et puis
00:23:35
et bien qu'on a la possibilité de faire de la vérification amputé par des procédures photographique
00:23:42
un l'a aussi ses émotions je pense qu'a évoqué il annonce qu'il
00:23:51
a parlé pas ching sur la sécurité des systèmes se extrêmement important d'avoir
00:23:55
des systèmes à jour et donc à ce titre la il faut qu'on soit très régulièrement
00:24:01
là encore je me rappelle pas uniquement au niveau applicatif au niveau des couches basses donc çà çà incluent les systèmes
00:24:06
d'exploitation s'assurer qu'on in politique qui vise à
00:24:13
mettre à jour l'ensemble des correctifs de manière très régulière
00:24:15
et puis le cas échéant offrir la possibilité de s'offrir la possibilité d'avoir des systèmes de détection d'intrusion presque
00:24:20
par définition si on en a données sensibles on peut être sujet à des attaques et donc
00:24:27
pouvoir prévenir ces attaques ça passe par la mise en place de
00:24:33
de systèmes de sombres pour permettre cette détection d'intrusion
00:24:38
et enfin un peut avoir des mesures de stockage
00:24:44
sur des serveurs centraux de ce qu'on appelle des
00:24:48
centres de données disponibilité élevée et des alimentation de secours pour
00:24:51
la redondance et puis évidemment surveiller les performances presque souvent
00:24:56
ça peut s'en dit long sur eux
00:25:02
sur les serveurs assure que c'est en train de subir
00:25:07
une attaque pas grand conclut le serveur subit de baisse de performance
00:25:11
un sur la partie contrôle de saisie donc il
00:25:19
faut s'assurer qu'on a de journaux qui sont falsifiable
00:25:22
on dispose d'un historique des entrées et puis autant
00:25:26
que possible de limiter les lois d'écriture dans le temps
00:25:31
sur la partie communication on va s'assurer qu'on a défini un émetteur
00:25:34
qu'on a établi une un destinataire et
00:25:41
puis déterminer le type de données à transmettre
00:25:46
et enfin on va s'assurer qu'on in documentation de la date de
00:25:50
la destination et qu'on définitif des objectifs de procédures de consultation en ligne
00:25:54
pour la partie réparation donc ça fait en cas de violation
00:26:05
là aussi le fait qu'un peu largement abordé par google
00:26:09
il faut mettre en place un processus qui permet de notifier
00:26:13
rapidement et simplement les infractions eux que ce soit vise à éviter
00:26:16
des autorités et même des utilisateurs qui ont fait l'objet d'une
00:26:20
de violation de données et puis
00:26:25
avoir une documentation standardisés la
00:26:28
vocation est son impact et de l'ensemble des mesures prises pour limiter les conséquences
00:26:32
un mas assez un point extrêmement important parce que c'
00:26:43
est c'est bien définir des mesures techniques et organisationnelles
00:26:46
mais ce qui est le mieux c'est pouvoir évidemment les évaluer
00:26:50
tant au niveau de la mise en oeuvre que leur efficacité opérationnelle
00:26:55
ça passe par tout un tas d'eux de choses qu'elle a parlé
00:27:01
de la data protection badie faute la data protection by design je reviens pas dessus
00:27:05
et je rebondis sur ce que disait l'homme tout à l'heure parce qu'effectivement ce extrêmement important
00:27:11
5 ans qui souvent négligée 11 dire chez sèchement prestataires tout va bien
00:27:18
pensez quand même à faire régulièrement des audits
00:27:23
et à obtenir les fameuses isa et qui vous donnons niveau nation sur le
00:27:29
sur le niveau de contrôle de porter cheveux prestataires
00:27:35
ça c'est ça s'applique évidemment chez vous mais ça s'applique aussi chez le prestataire
00:27:40
donc ça c'est probablement par cette c'est pas le seul point évidemment mais
00:27:47
c'est un point extrêmement important on a parlé
00:27:52
d'accords de soustraitance juge était chez un client signature
00:27:55
entière qui est un gestionnaire de patrimoine et qui avait
00:28:00
qui m'a montré le travail qu'il avait fait pour se mettre en conformité avec la même période
00:28:05
il avait plutôt bien fait l'exercice il était bonne et la ville anticiper les choses
00:28:09
il a élaboré un registre il évaluer ses risques laver il pensait avoir identifié l'ensemble des
00:28:14
de ces traitements et puis en discutant très simplement incluant cet aperçu que
00:28:20
b il avait omis d'eux de communication il communiquait pardonnez moi certaines
00:28:26
données sensibles eux à des partenaires ou à des soustraitants et donc b un
00:28:31
typiquement il n'avait aucune idée de ce que faisait le partenaire
00:28:36
en question et les soustraitants question d'eux des données de ses clients
00:28:40
donc on a cot on en train de corriger le tir mais voilà ça fait typiquement partie des choses
00:28:45
sur lequel j'insiste pas ce que l'on pense souvent au traitement dont fait son
00:28:51
culte mais comme ça a été rappelé plusieurs fois on est aussi responsable de ce que
00:28:56
de ce que font nos partenaires soustraitants et donc toutes ces mesures finalement que
00:29:00
j'ai décrit la ebay s'applique
00:29:05
à vous mais s'applique aussi à vous soustraitants
00:29:09
j'aurai l'occasion de répondre aux questions que vous aurez à l'issue de la science
Conference Program
Mot de bienvenue
Samuel Mellot, Attaché au développement économique, DG DERI
Sept. 1, 2023 · 8:33 a.m.
178 views
