Politiques de protection de la vie privee et sécurité système d'information

Référentieldocumentaire«Protectiondelavieprivée»:
quelcontenu,quelle«opposabilité»?
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Référentiel documentaire « Protection de la vie privée » :
Quel contenu ?
Quelle « opposabilité » ?
Version V3 AFCPD du 20/12/2018
Denis VIROLE
1

2
• Avertissement
• Présentation des principaux symboles
• Rappel
• La nature, la portée, le contexte et la finalité du T et des risques
• Objectifs des politiques protection de la vie privée
• Contexte des politiques protection de la vie privée
• Architecture documentaire
• Engagement du RT pour la protection de l’information et de la vie privée
• Engagement des directions métiers pour la protection de l’information / Politique Générale Protection de l’Information
• Le COPIL
• La Politique de protection de la vie privée à usage interne
• La Politique de protection de la vie privée à usage externe
• La Politique Sécurité Système d’Information
• Le Plan d’Assurance Sécurité / le clausier
• Le dossier de sécurité « by design »
• Le rapport PIA
• Les procédures
• L’exercice des droits des PC
• Les relations avec la CNIL
• La notification de violations de DCP
• La charte d’utilisation des DCP et ressources SI
• Les guides pratiques
• La Politique de Continuité d’Activité
• Les audits
• L’amélioration continue
• Conclusion

3
Être un document de référence
réutilisable
Servir de support
à l’animation de la présentation
Certains slides ont été insérés
par souci de cohérence
mais ne seront pas nécessairement
présentés
Ce support de formation
a été conçu avec deux objectifs:

4
COPIL Comité de Pilotage et validation
AC Autorité de contrôle CNIL
PC Personnes Concernées
Destinataires
Tiers autorisé
ST Sous Traitant
RT Responsable du Traitement
Traitement de DCP
DPO DPD
Les symboles
CISO / RSSI
Directions métiers déléguées par le RT
Collaborateurs

5
Obligations
générales
Article 24
Compte tenu de la nature, de
la portée, du contexte et
des finalités du T / Risques,
Mesures
organisationnelles et
techniques appropriées
pour s'assurer et être en
mesure de démontrer que
le T est conforme
Ces mesures sont
réexaminées et actualisées
si nécessaire.
Mise en œuvre de
politiques appropriées
Sécurité du T
Article 32
Garantir que toute
personne physique
agissant sous l'autorité
du RT ou sous celle du
ST, qui a accès à des
DCP, ne les traite pas,
excepté sur instruction
du RT
Tester, à analyser et à
évaluer régulièrement
l'efficacité
Rappel

6
Opposable
Force d'un contrat ne pouvant être méconnue par les tiers qui, n'étant pas directement obligés par celui-ci, ne
leur en est pas moins opposable, c'est-à-dire qu'ils n'en sont pas moins tenus d'en reconnaître et d'en
respecter l'existence et même d'en subir les effets.
Organisation et Référentiel
• Formations
• Méthodes
• Procédures
• Contrôles
• Amélioration continue
• Preuves
• Sanctions
• Technologies
Engagements
de responsabilité
Relativité
Sensibilité des DCP
et Finalités
• Vraisemblance
• Impacts Vie Privée
• Relativité des règles corrélées
aux besoins et
aux risques vie privée
Rappel
Politiques
L' "opposabilité" est le caractère d'un type
de relation qui régit les rapports juridiques
entre deux ou plusieurs personnes.

7
Types de DCP Exemples de Catégories de DCP
DCP courantes
Etat civil, identité, données d’identification
Vie personnelle (habitude de vie, situation familiale, hors données
sensibles, très sensibles ou dangereuses, …)
Informations d’ordre économique et financier (revenus, situation
financière, situation fiscale, ..)
Données de connexion (adresses IP, journaux d’évènements, …)
Données de localisation, (déplacements, données GPS, GSM, …)
DCP hautement personnelles
Données relatives aux difficultés sociales
Données bancaires
DCP très sensibles Numéro de sécurité sociale
Opinions philosophiques, politiques, religieuses, syndicales, vie
sexuelle, données de santé, origine raciales ou ethniques, relatives
à la santé ou la vie sexuelle, données biométriques, données
génétiques, données d’infractions ou condamnations pénales
La nature des données
Rappel

8
Évaluation
Notation / Profilage
Prédiction
Prise de décisions
automatisée
avec effet juridique T qui «empêchent les PC
d’exercer un droit ou de
bénéficier d’un service ou d’un
contrat».
Surveillance
systématique:
DCP visées à l’article 9
DCP traitées à grande échelle:
Croisement / combinaison
d’ensembles de DCP, par
exemple issus de deux
opérations de T
DCP
concernant
des
personnes
vulnérables :
Utilisation innovante de
nouvelles solutions
technologiques ou
organisationnelles:
La nature, la portée, le contexte et la finalité du T et des risques
La CNIL a publié la liste détaillée des traitements devant faire l’objet d’une AIPD

9
Accès illégitime aux DCP
Impacts corporels
Impacts matériels
Impacts moraux
Modification non désirée des
DCP
Impacts corporels
Impacts matériels
Impacts moraux
Disparition des DCP
Impacts corporels
Impacts matériels
Impacts moraux
La nature, la portée, le contexte et la finalité du T et des risques

Les mesures définies
dans les politiques
doivent réduire les
vulnérabilités
Sources de risques / Menaces
Sources
humaines
internes
agissant accidentellement
agissant de manière
délibérée
Sources
humaines
externes
agissant accidentellement
agissant de manière
délibérée
Sources
non
humaines
internes
externes
Vraisemblance
Vraisemblance
Vraisemblance
Événements redoutés
Accès illégitime aux
DCP
Modification non
désirée des DCP
Disparition des DCP
Vulnérabilités
La nature, la portée, le contexte et
la finalité du T et des risques

11
C
O
N
F
O
R
M
I
T
E
6
Processus continuellement optimisé,
institutionnalisé et tient compte de
l'évolution du contexte
5
Processus
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts
constatés
4
Processus
décrit, adapté à
généralisé et
bien compris par
le management
et par les
exécutants
3
Pratiques de
base mises en
œuvre, avec un
engagement
relatif du RT
2
Pratique de base
mises en œuvre
informelle à
l'initiative de
ceux qui
estiment en avoir
besoin
1
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
NON CONFORME CONFORMITE / OPPOSABILITE / PREUVE
AMELIORATION CONTINUE
Objectifs des politiques

12
Identifier les éléments clés du T
Vérifier si le T sort du champ des
formalités
• Intérêt public, pharmacovigilance,
entrepôts de données
• Recherche
Vérifier si le T est conforme à un
référentiel ou à une MR
Déclaration de
conformité
Demande
d’autorisation
Documenter en interne : Renseigner le Registre, mener une AIPD, vérifier l’effectivité de l’information
délivrée aux PC et de l’effectivité de leurs droits, formaliser les responsabilités du RT et des acteurs,
renseigner les actions de sécurité
OUINON
OUI NON
Contexte des politiques

13
Les politiques appropriées doivent reposer sur deux piliers :
Les principes et droits fondamentaux,
« non négociables »,
qui sont fixés par la le RGPD / I&L et doivent être
respectés et ne peuvent faire l’objet d’aucune
modulation, quels que soient la nature, la gravité et
la vraisemblance des risques encourus
La gestion des risques sur la vie privée des
personnes concernées,
qui permet de déterminer les mesures techniques et
d’organisation appropriées pour protéger les DCP
Contexte

14
Engagement de
responsabilité et
leadership
Lettre d’engagement pour la protection de l’information et de la vie privée
Stratégique,
Organisationnelle et
méthodologique
Politique Générale pour la protection de l’information
Destinée au directions
métiers
Politique de protection
de la vie privée usage
interne
Politique de protection
de la vie privée usage
externe
Transparence et
présentation des droits
des PC
Destinée aux maitres
d’oeuvreFonctionnelle Politique Sécurité Système d’Information
PAS / Clausier avec
les ST
Opérationnelle
Transparence et
présentation des droits
et des devoirs des
collaborateurs et du RT
Chartes
• Dossier by design / AIPD
• Procédures de réponses
aux demandes d’exercices
des droits PC
• Procédures de coopération
avec la CNIL
• Procédures de notification
de violation de la vie privée
Technique Guide d’utilisation des supports de DCP / information
sensibles
Architecture documentaire
L
’
a
m
é
l
i
o
r
a
t
i
o
n
c
o
n
t
i
n
u
e
L
e
P
C
A
/
R
é
s
i
l
i
e
n
c
e

Opérationnel
Pilotage
Stratégique
15
Lettre d’engagement pour la
protection de l’information et de la
vie privée
Politique Générale pour la
protection de l’information
Politique de
protection de la
vie privée
usage interne
Politique de
protection de la
vie privée
usage externe
PSSI et PAS
Chartes
• Utilisateurs
• Administrateurs
• Télétravail
• Sous traitants
• Dossier by
design / AIPD
• Procédures
Guide d’utilisation des supports
de DCP / information sensibles
Architecture documentaire

16
Engagement de responsabilité
et leadership
Lettre d’engagement pour la protection de l’information
et de la vie privée
1. Engagement de responsabilité du RT
1.1 Leadership :
Formalisation de valeurs essentielles complémentaires aux obligations légales pour le RT :
• La protection de la vie privée et la sécurité des données personnelles des PC (clients, des partenaires et des
collaborateurs,)
• Le respect des obligations légales,
• La satisfaction des engagements contractuels,
• La confiance des clients, des usagers,
• La protection des personnes et des biens,
• L’entretien de relations sociales / travail de qualité,
• La protection des investissements et la sécurité financière,
• Le respect des intérêts légitimes des partenaires et fournisseurs,
• La protection et la valorisation de l’image
• La protection du patrimoine historique et culturel
• …
1.2 Engagement de moyens d’assistance aux collaborateurs
• Conseil / Contrôle par le DPO
• Conseil / Contrôle par le RSSI
• Soutien des managers
• Formation
• Communication
2. Engagement de responsabilité des collaborateurs et sous traitants
3. Suivi et contrôle
Engagement du RT pour la protection de l’information et de la vie privée

17
Engagement de responsabilité
et leadership
Lettre d’engagement pour la protection de l’information
et de la vie privée
Objectif Communication, leadership
Destinataires Internes, ST et PC
Opposabilité Faible
Valeur probante Faible
Complexité Faible
Contexte Tous
Pérennité Forte
Mode de communication Affiche, Web, Intranet , Sensibilisation, …
Nécessité Très forte
Cohérence avec la SSI Très forte
Cohérence avec la qualité Très forte
Mesure Non mesurable
Engagement du RT pour la protection de l’information et de la vie privée

18
Stratégique, Organisationnelle
et méthodologique
Politique Générale pour la protection de
l’information
1. Principes directeur, les enjeux : les valeurs essentielles à protéger :
• Engagement et responsabilités de la direction Générale
• La conformité, la protection de l’information et la SSI sont des responsabilités essentielles du management.
• La responsabilité métier : Chaque information et composant du SI a un propriétaire/dépositaire, chaque propriétaire doit
connaître et mesurer les risques des composants dont il a la charge
2. Principes méthodologiques
• Les Impacts des évènements redoutés et les besoins de protection doivent être identifiés par les métiers déléguées par
le RT en concertation avec les représentants des PC pour la protection de la vie privée
• Les besoins de sécurité, origine des plans de mesures
• La démarche sécurité de l’information : une action permanente
3. Le Cadre organisationnel
• Le RSSI
• Le DPD/DPO
• Le Responsable de la Sécurité des biens et des personnes
• Le Comité de Pilotage et Validation pour la protection de l’information
• La sécurité dans la réalisation et l’exploitation des composants est du ressort de la maîtrise d’œuvre informatique
• La responsabilité individuelle : Chaque intervenant, quelle que soit sa fonction, est un acteur de la sécurité
4. Organisation des documents constituant la Politique
5. Le suivi et le contrôle
Engagement des directions métiers pour la protection de l’information

19
Type d’impact
Non significatif
(Niveau1)
Significatif
(Niveau 2)
Grave
(Niveau 3)
Très grave
(Niveau 4)
Incapacité à réaliser la
mission ou le contrat
Non significatif
(Exemple une heure)
Accès internet
indisponible pour un
temps donné
(Exemple trois heures)
Non fonctionnement
des logiciels métiers
pour un temps donné
(Exemple une journée)
Non fonctionnement
des logiciels métiers
pour un temps donné
(Exemple une semaine)
Non-respect des
obligations légales
Non significatif
Contentieux juridiques
simples hors procédure
pénale.
Nombreux contentieux
juridiques hors
procédures pénales
Engagement des
responsabilités
juridiques des
dirigeants
Perte d’image Non significatif
Rumeurs locales auprès
des usagers pendant
une courte durée
Affectation de l’image
dans les médias locaux
pendant une journée
Affectation de l’image
dans les médias locaux
pendant plusieurs jours
Perte financière
Perte financière
inférieur à 0,1%
Perte financière entre
0,1 à 1% du budget
Perte financière entre 1
à 10% du
Budget
Perte financière
supérieure à 10% au
budget
Climat de travail
Climat social
Vie privée / libertés
fondamentales
Mécontentement isolé
Impact non significatif
Mécontentement d’une
équipe ou d’un service
Impact significatif
Mécontentement d’une
ou plusieurs directions
Impact grave
Grève limitée
Impact très grave
C Interne
DI
C Restreint
DI Important
C Confidentiel
DI Essentiel
C Secret
DI Vital
Dans le cas où la PGPI est
fusionnée avec la Politique de
protection de la vie privée à
usage interne

20
Objectif Implication et engagement des directions métiers
Destinataires Directions métiers déléguées par le RT
Opposabilité Moyenne, c’est la démarche qui est opposable
Valeur probante Moyenne
Complexité Moyenne
Contexte Tous
Pérennité Forte
Mode de communication Sensibilisation
Nécessité Importante pour les organismes moyens à grand
Mesure Stratégique / Pilotage
et méthodologique
l’information

• Dès que l’on sort de l’étape « best practices auto justifiées-sécurité informatique» sous responsabilité des
maîtrises d’œuvre (et que l’on cherche l’engagement de responsabilité du RT et l’adhésion des métiers,) les
besoins de sécurité classifiés consécutifs aux évènements redoutés doivent être à l’origine de la formalisation
des exigences de sécurité adaptées, (règles, obligations et interdits).
• Or ces exigences de sécurité (règles, obligations et interdits) sont susceptibles d’être ressenties comme des
contraintes allant à l’encontre d’objectifs de productivité du métier délégué par le RT.
• Certaines interdictions ou obligations techniques ou comportementales brident les services que veulent
mettre en œuvre certaines directions de projet.
• La prise en compte native de la sécurité et de l’AIPD dans les projets est identifiée comme un facteur potentiel
de ralentissement.
• Dans tous les cas il y a plusieurs divergences d’analyse potentielles :
• Entre la maitrise d’ouvrage et le DPO
• Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre ou le ST
• Entre la maîtrise d’ouvrage, la maîtrise d’œuvre / ST d’une part et la SSI d’autre part
• Entre la maîtrise d’œuvre et la SSI
• Entre le DPO et le RSSI
Le COPIL ne pourra se prononcer avec raison que si les mesures peuvent être adossées à des exigences réglementaires, des
évènements redoutés, à des besoins, A MINIMA AUX RISQUES POUR LA VIE PRIVEE ET LES LIBERTES FONDAMENTALES
Besoin d’arbitrage Arbitre
Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre
RT Comité de pilotageEntre la MOA, la Maitrise d’œuvre d’une part et la SSI / DPO d’autre part
Entre SSI et DSI
Validation/Homologation RT
Le comité de pilotage et validation

22
SI
Voie
hiérarchique
DSI
Relais
DPO
SI
externalisé
Relais SSI
Voiefonctionnelle
Vieprivée
DPO
Voiefonctionnelle
SSI
RSSI
Métiers / Clients
RT
Autorité de tutelle
DSI
ST
• Demande de conseil
• Sollicitation d’arbitrage
• Remontée d’incidents
• Alertes
• Gestion des non conformités
• Dérogations
• Audits
• Tableaux de bords
Voiefonctionnelle
Conservationdesdonnéeset
documents
Relais
RPSAL
RPSAL
Voiefonctionnelle
CA
RPCA
Relais
PCA
Comité de pilotage
En toute indépendance
et méthodologique
l’information

23
SI
Garant du Référentiel
Gère les articulations avec les
autres filières
Effectue une veille
Eclaire les éléments d’arbitrage
Définit un socle commun de
contrôles
Suit les évènements Exploite les résultats des contrôles
Comité de pilotage
DPO
DSI
ST
RSSI
SSI
Métiers
En toute indépendance
et méthodologique
l’information

24
Objectif Suivi, arbitrage, validation des risques résiduels, dérogations
Destinataires Rapport pour les Directions métiers déléguées / DSI ST /
DPO/ RSSI
Opposabilité Rapport du COPIL
Valeur probante
Complexité Faible
Contexte Tous par l’intermédiaire de la voie fonctionnelle vie privée
Pérennité Forte
Mode de communication Note d’orientation si nécessaire
Nécessité Importante pour tous
Mesure Indicateurs : Stratégique pour le RT / Pilotage pour le COPIL
et méthodologique Comité de pilotage
Pour les petites structures, le CODIR tient la fonction du COPIL

25
La classification
des DCP
L’évolution et
contrôle de la
politique
Engagement de
responsabilité
Le registre des T*
Des demandes
d’exercices de
droit
Des notifications
Définition des
prérogatives
Engager
contractuellement
La sécurité des T
des DCP
Garantir la légalité
des T
Renforcement de
la culture
« protection de la
vie privée »
T de DCP
sensibles ou
hautement
personnelles
Le droit des PC
La Politique de protection
de la vie privée à usage
interne
*Création modification suppression
d'un traitement

26
Transparence et présentation des
droits et des devoirs de collaborateurs
droits des PC
Nom ou numéro de la directive / règle : Objectif de la directive / règle
Objectif mesurable Sous objectif mesurable si possible
Indicateur de mesure De conformité
Élément de preuve
Registre / Fiche de T / PIA / Dossier projet by design /
nombre de personnes formées
Règle et RACI En fonction des acteurs pré identifiés
Format de la règle L’acteur R DOIT
La Politique de protection de la vie privée à usage interne

27
Donnés courantes Données hautement personnelles Données très sensibles
Etat civil, identité, données
d’identification
Vie personnelle habitude de vie, situation
familiale, hors données sensibles, très
sensibles ou dangereuses
Informations d’ordre économique et
financier revenus, situation financière,
situation fiscale
Données de connexion (adresses IP,
journaux d’évènements,
Données de localisation,
Données bancaires
Données relatives aux difficultés sociales
Données de santé
Opinions philosophiques, politiques,
religieuses, syndicales, vie sexuelle,
données de santé, origine raciales ou
ethniques, relatives à la santé ou la vie
sexuelle.
Numéro de sécurité sociale (NIR)
Données biométriques
C Restreint
DI Important
C Confidentiel
DI Essentiel
C Secret
DI Vital
droits des PC
En cohérence avec la PGPI, si elle existe

28
droits des PC
Nom ou numéro de la directive Objectif de la directive : Identification de la sensibilité des DCP
Objectif mesurable Fiches de T, Nombre de projets « by design », Nombre d’AIPD
Indicateur de mesure et
Producteur
Fiches de T / Dossier de sécurité by design, Rapport PIA
DPO
Élément de preuve Dossier de sécurité by design, Rapport PIA
Règle et RACI R : Directions métiers déléguées / MOA; C: DPO; I:ST ; A:RT
Format de la règle L’acteur R DOIT respecter/mettre en oeuvre la règle
Exemples
Nom ou numéro de la directive Objectif de la directive :Renforcer la culture informatique et libertés
au sein de tous les services
Objectif mesurable Formation des collaborateurs
Producteur
Nombre de personnes formées
R:DPO; I:Directions métiers; C:ST; A:RT
Élément de preuve Feuilles de présence, évaluation et supports de formation
Règle et RACI R:DPO; I:Directions métiers; C:ST; A:RT
Exemples

29
droits des PC
Nom ou numéro de la directive Objectif de la directive : Engager contractuellement et Plan
d’Assurance sécurité / clausier les ST
Objectif mesurable Nombre de contrats modifiés
Producteur
Contrats modifiés
DPO
Élément de preuve Contrats modifiés et auditabilité du contrat
Règle et RACI R: Directions métiers; A:RT; C: Directions métiers et DPO; I:ST
Exemples
Nom ou numéro de la directive Objectif de la directive : Assurer que les dispositifs et les procédures
découlant de cette politique soient appliqués
Objectif mesurable Nombre de T audité
Producteur
T audité
DPO
Élément de preuve Rapport d’audit
Règle et RACI R:DPO; A:RT; C: Directions métiers, ST; I:COPIL
Exemples

30
Objectif Engagement des responsabilités
Destinataires Directions métiers déléguées
Opposabilité Très forte
Complexité Moyenne
Contexte Tous
Pérennité Forte
Mode de communication Formation
Nécessité Très forte pour les organismes moyens à grand
Mesure
Stratégique / Pilotage / opérationnel en fonction
des indicateurs et des destinataires
droits des PC

31
Transparence et présentation des droits
des PC
Types de DCP traitées
Courantes
Hautement personnelles
Sensibles
Cas particuliers de collecte indirecte Types de données et source
Fondement juridique de la licéité du T Art 6 RGPD / Art 7 LIL
Destinataires Autres que les PC
Tiers autorisés
Transfert en dehors de l’EEE Dispositions
Durée de conservation
Exercices des droits des PC
Accès
Rectification
Effacement
Limitation du T
Opposition
Portabilité
Directives après le décès
Retrait du consentement
Evolutions
Contacts
La Politique de protection de la vie privée à usage externe

32
Transparence et présentation des droits
des PC
Objectif Transparence et loyauté
Destinataires PC
Valeur probante Forte
Complexité Moyenne
Contexte Tous
Pérennité Forte
Mode de communication Affiche, Web, courrier
Cohérence avec la SSI Faible
Cohérence avec la qualité Moyenne
Mesure Intégration des nouvelles exigences
La Politique de protection de la vie privée à usage externe

33
Fonctionnelle
Déclinaisons Types de structure Orientation
Normes
• ISO 27002
• ISO 29100 Techniques de sécurité --
Cadre privé
• ISO 29151Code de bonne pratique pour
la protection des DCP
• ISO 27017 (Code de conduite 27002
pour le Cloud)
• ISO 27018 (Cloud public)
• PSSI E
• PGSSI S
• PSSI MCAS /
MSS
• Structures
importantes
• Risques voir les
critères plus haut
• Hébergeurs HDS
(ISO 27001)*
Recommandations
fonctionnelles non
certifiables
• 10 conseils pour la sécurité de votre SI
• Guide de la sécurité des DCP : 17 fiches
multi règles + contrôle
• Synthèse de la
norme ISO 27002
• Toutes structures
a minima
• 42 règles d’hygiène informatique
• RGS Chapitre 7 et annexes
• Homologation
Téléservices
• Autorités
Administratives
La Politique Sécurité Système d’Information
*La certification ISO 27001 ne certifie pas la règle mais le Système de management d’amélioration continu

34
Formalisation de l’exigence obligatoire DSI / ST
Intégration
RSSI / DPO
Contrôle
ISO 27002 : 2013
Politique de sécurité de l’information (5)
Règles fonctionnelles
intégrées par la DSI / le
ST
Conformité
Efficacité
Contribution à la
performance
Organisation de la sécurité de l’information (6)
Sécurité liée aux Ressources Humaines (7)
Gestion des actifs (8)
Contrôle d’accès (9)
Cryptographie (10)
Sécurité Physique et environnementale (11)
Sécurité liée à l’exploitation (12)
Sécurité des communications (13)
Acquisition, développement et maintenance des systèmes (14)
Relations avec les fournisseurs (15)
Gestion des incidents liés à la sécurité de l’information (16)
Gestion du Plan de continuité d’activités (17)
Conformité (18)
Fonctionnelle
Les recommandations fonctionnelles doivent devenir des exigences impératives et opposables
La PSSI est basée sur la séparation des devoirs

35
Evénement redouté sur la vie privée et
les liberté fondamentales / Besoin
D I C
4
Règles
corrélées à
la sensibilité
des T de
DCP
3
2
Best practices by default
Règles sécurité informatique de base communes à l’ensemble des T de
DCP
Fonctionnelle

36
Directive n ; Chapitre Thème ISO 27002
Objectif Objectif mesurable / indicateurs Elément de preuve Producteur de l’élément de preuve
N.n : N° de la directive, thème de la règle issue
de la PSSIE/ISO 27002 ; n° numéro de la règle
ISO 27002.2013 : X.X.X Equivalence ISO 27002 v 2013
RGS 2.0 : Exigences RGS
I&L : Exigences liées à la protection des DCP / fiche CNIL
Règles d’hygiène informatique ANSSI
Réalise
Approuve
Consulté
Informé
Explication de la règle, où l’acteur identifié R DOIT
Fonctionnelle

37
Fonctionnelle
Objectif Formalisation de réduction de vulnérabilités, formalisation de
cahier des charges SSI
Destinataires Pour l’essentiel DSI ou ST
Nécessité Très forte
Complexité Moyenne à Forte
Contexte Tous
Pérennité Forte si fonctionnelle, faible si orientée architecture ou produits
Cohérence avec la SSI Maximale
Cohérence avec la qualité Forte
Mesure Conformité / Efficacité essentiellement pour la Disponibilité

38
N° d’exigences
N°
Maturité
Localisation
DCP
Santé
ou
sensibles
Non
sensibles
Certifié
ou
Agrée
Non Certifié
Agréé
Certifié Non certifié
Territoire national
Interdit par
la France
Territoire national
En dehors
de l’UE
PAS
++++
PAS
+++++
PAS
++++++
PAS
+
PAS
++
PAS
+++
Le Plan d’Assurance Sécurité / Clausier est un document contractuel décrivant l’ensemble des dispositions
spécifiques mises en œuvre pour garantir le respect des exigences de sécurité du donneur d’ordre, le RT .
Il doit être annexé au contrat
La Politique Sécurité Système d’Information / Le PAS / le clausier

39
Exigences de sécurité types * ** *** **** ***** ******
Gestion de la sécurité Obligatoire
Agrément oui certification Oui Obligatoire
Protection antivirale
ObligatoireMise à jour et correctifs de sécurité
Sauvegardes et restauration
Continuité d’activités Si besoin exprimé par le RT Obligatoire
Authentification Obligatoire
Confidentialité et intégrité des flux Si besoin exprimé par le RT Obligatoire
Contrôle et filtrage des flux
ObligatoireImputabilité et traçabilité des flux
Journaux d'évènements
Marquage des supports de données et équipements sensibles Marquage DCP a minima Obligatoire
Personnels en charge des prestations
Obligatoire
Qualification et expérience, formations et sensibilisations SSI / PDCP des
personnels
Exigences concernant les personnels extérieurs
Continuité des services essentiels
Protection contre les incendies, la foudre et les dégâts des eaux
Surveillance et contrôle des accès aux locaux
Intervention des sociétés de maintenance
Suivi du service hébergé SLA
Prévention d’une attaque

40
Fiche de Mesure de Sécurité
Établie le :
Libellé : Ex: Gestion de la sécurité ISO 27002, numéro de la règle RT
Type :
Organisation et responsabilités dans le domaine de la PPDCP /
Sécurité
Responsabilité : Le Prestataire X
Description :
Bonne application de la Politique Générale de protection de
l’information / PSSI
Risques couverts :
Dispositions de Sécurité requises
Dispositions / transcription effective
Référence de la directive /
règle
Entité responsable Statut

41
Fonctionnelle
Objectif Transcription effective des règles de sécurité du RT par le ST
Formalisation de réduction de vulnérabilités
Destinataires RT / ST
Opposabilité Très Forte
Complexité Moyenne à Forte
Contexte Tous
Pérennité Forte si fonctionnelle, faible si orientée architecture ou produits
Mode de communication Relation contractuelle
Mesure Conformité /efficacité en Disponibilité

42
Opposable
Version
successives
V1 à Vn
Incrémentation
Lot1 à Lot n
Le dossier de sécurité « by design » pour la protection de la vie privée
Etude
d‘opportunité
Exploitation
Homologation
Etude de
faisabilité
Réalisation
Conception
générale
Conception
détaillée
Opposable

43
Une description systématique des opérations de T envisagées et des finalités du Traitement, y compris, le
cas échéant, l'intérêt légitime poursuivi par le RT
L’ évaluation de la nécessité et de la proportionnalité des opérations de T au regard des finalités
L’évaluation des risques pour les droits et libertés des PC
Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité
visant à assurer la protection des DCP et à apporter la preuve du règlement, compte tenu des droits et des intérêts
légitimes des PC et des autres personnes affectées.
Le respect, par les RT ou ST concernés, de codes de conduite approuvés visés à l'article 40 est dûment pris en
compte lors de l'évaluation de l'impact des opérations de T effectuées par lesdits RT ou ST, en particulier aux fins d'une
AIPD
Le cas échéant, le RT demande l'avis des PC ou de leurs représentants au sujet du T prévu, sans préjudice de la
protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de T
Si nécessaire, l’examen afin d'évaluer si le T est effectué conformément à l’AIPD, au moins quand il se produit une
modification du risque présenté par les opérations de T
Le dossier de sécurité AIPD / PIA

44
Fonctionnelle
Objectif L’engagement du RT à prendre en compte les libertés
fondamentales et la protection de la vie privée, à réduire les
risques sur la vie privée et les libertés fondamentales
Destinataires COPIL, RT, ST, CNIL voire les PC
Opposabilité Forte
Complexité Forte
Contexte Tous, a minima en fonction des critères du CEPD *
Pérennité Moyenne
Mode de communication Dossier
Mesure Par T
Le dossier de sécurité AIPD / PIA
*La CNIL a publié la liste des T soumis à l’AIPD

45
Procédures de traitement
des demandes de la PC
concernant les DCP
Procédure de création / modification ou
suppression de T
Procédure de Privacy by design
Procédure relative à la gestion des
risques sur les DCP sensibles
Procédure de traitement
de la notification de
l’autorité de contrôle
Procédure d’accueil des
contrôleurs de l’autorité
de contrôle
des violations des DCP
des non conformités
Procédure de ctl du DPO
Procédure d’alerte du
DPO au RT
Procédure de veille juridique protection de la VP
Traitement
de DCP
Les procédures

46
Droit d’accès
Face à face
Face à face avec un mandataire
Courrier postal
Mail
Message au Web administrateur
Droit de rectification
Face à face
Courrier postal
Mail
Droit à l’effacement
Face à face
Courrier postal
Mail
Droit d’opposition et Profilage
Face à face
Courrier postal
Mail
Droit à la limitation du T
Face à face
Courrier postal
Mail
Obligation de notification rectification effacement limitation du T
Face à face
Courrier postal
Mail
Obligation de notification rectification effacement limitation du T
Face à face
Courrier postal
Mail
Les procédures pour la satisfaction de l’exercice des droits des personnes

47
Fonctionnelle
Objectif L’engagement du RT à satisfaire les demandes de droits des PC
Destinataires Directions métiers déléguées et DPO
Complexité Moyenne
Contexte Tous
Pérennité Moyenne à forte
Cohérence avec la SSI Moyenne
Mesure Par le registre des demandes d’exercices des droits
Les procédures pour l’exercice des droits des PC

48
disposer d’une
organisation
permettant de
détecter et de traiter
les
événements
susceptibles
d’affecter les
libertés et la VP des
PC
Définir les rôles et
responsabilités ainsi que les
procédures de remontées
d’informations et de réaction, en
cas de violation de DCP.
Établir un annuaire des
personnes en charges de gérer
les violations de DCP.
Élaborer un plan de réaction en
cas de violation de DCP pour
chaque risque élevé, le tenir à
jour et le tester périodiquement.
Tester le plan au moins une fois
tous les deux ans.
Permettre de qualifier les
violations de DCP selon leur
impact sur les libertés et la
vie privée des PC
Tenir à jour un inventaire des violations de DCP.
Consigner le contexte des violations de DCP, leurs effets, les
mesures prises pour y remédier…
Étudier la possibilité d’améliorer
les mesures de sécurité en
fonction des violations de DCP
qui ont eu lieu
La notification des PC décrit au
minimum la nature de la
violation de DCP et les points
de contact auprès desquels des
informations supplémentaires
peuvent être obtenues
La notification faite à l’autorité
nationale compétente décrit les
conséquences de la violation
de DCP, et les mesures
proposées ou prises par le
fournisseur pour y remédier
Il est important d’être en
capacité de recueillir, conserver
et présenter des preuves
lorsqu’une action en justice est
engagée suite à un incident
Les procédures de notification de violations de DCP

49
Fonctionnelle
Objectif Notifier à al CNIL les violations de DCP
Destinataires CNIL voire les PC
Opposabilité Forte
Complexité Moyenne
Contexte Tous
Pérennité Moyenne
Mesure Par le registre des notifications de violations de DCP
Les procédures pour l’exercice des droits des PC

Il est important de formaliser et rappeler à chaque partie les informations nécessaires sur:
les droits et les devoirs afin d’engager et assumer les responsabilités
Respecte les lois et engage sa responsabilité
• Définit des règles
• Informe les personnels sur:
• Les règles
• Les dispositifs de surveillance
• Les éventuels contrôles
• Les niveaux de responsabilité individuelle
• Met en place les dispositifs de protection
• Analyse / Contrôle leurs efficacités
• Respecte les lois et les règles
• Devoir de loyauté
• Informe le RT / DPO des éventuels incidents
• Être informé et formé sur :
• Les lois
• Les règles
• Les risques
• Les dispositifs de surveillance
• Les dispositifs de contrôle
• Les engagements de responsabilité
• Définit des règles
• Met en place des dispositifs de surveillance
• Met en place des dispositifs de contrôle
• Engage la responsabilité des utilisateurs
Le document «la charte relative au bon usage des informations et DCP et du système d’information est formalisé par le
RSSI et décrit les principes structurants les droits et les devoirs de la personne morale de l’organisme et de l’utilisateur.
Ce document doit être diffusé et connu par tous les utilisateurs du système d’information
Devoirs Droits
La charte d’utilisation des ressources du SI

51
51
Les principes de la charte relative au bon usage des informations, DCP et du SI
La discussion collective La transparence
La proportionnalité
de la règle et du
contrôle

52
52
1. Les principes généraux
liés aux obligations réglementaires,
disciplinaires et contractuelles
des SI
2. Les principes structurants
liés à l’utilisation du SI
La charte a été soumise à l’avis des instances représentatives du personnel.
Toute modification fera à nouveau l’objet d’une consultation du comité technique.
La charte (ayant valeur de règlement intérieur auquel elle est annexée) est portée à la connaissance des
utilisateurs
par tous moyens jugés adéquat par le RT (séminaire de sensibilisation, courrier interne, diffusion sur l’intranet,
transmission par la messagerie électronique, affichage dans le service.)
Cette charte ainsi que le carnet utilisateur s’appliquent à l’ensemble des utilisateurs :
(agents, élus, prestataires, partenaires, stagiaires,…) du SI quelles que soient leurs localisations et les plages horaires

53
Objectif L’engagement du RT et des collaborateurs à respecter les droits
et les devoirs consécutifs aux obligations légales et aux besoins
de sécurité
Destinataires Tous
Opposabilité Forte, si expliquée en toute transparence
Valeur probante Forte si communiquée en toute transparence à tous
Complexité Moyenne
Contexte Tous
Pérennité Moyenne si opérationnelle, forte si concentrée sur les droits et
les devoirs
Mode de communication Sensibilisation, Formation
Mesure Nombre de collaborateurs formés

REGLES
ETAPES
DIC
Supports d’information papier / Supports de données numériques
de DCP
Environnement papier
Locaux entité
Extérieur
Environnements Partagés Environnements
individuels
Supports amovibles
externes individuels
Marquage
Transmission
Copie
Impression
Accès
Stockage /
Archivage
Destruction
Le guide des bonnes pratiques utilisateur

Type de
support
Niveau C4
SECRET
Niveau C3
CONFIDENTIEL
Niveau C2
DIFFUSION RESTREINTE
Marquage &
identification Tous supports
Référence de l’émetteur et niveau de sensibilité sur chaque page
(filigrane, tampon)
« Secret »
N° de page n / N
En-tête ou pied de page :
Secret
Propriété de l’organisme
Reproduction interdite »
Confidentiel
Reproduction interdite »
Diffusion restreinte
interdite sans accord préalable
Autres
mentions
(1ère
page)
Tous supports
Chaque copie, soumise à
l’approbation du propriétaire, est
individualisée et traçable au
moyen d’une liste de diffusion
personnalisée et d’un n° de copie
associé à chaque destinataire. Ce
document doit être conservé dans
un coffre fort
Sa diffusion est limitée aux seuls
destinataires figurant sur la liste
de diffusion. Ceux-ci ne doivent ni
en faire des copies, ni le rediffuser
sans l’accord du propriétaire.
Ce document doit être conservé
dans un coffre fort
Sa diffusion est limitée aux seuls
destinataires figurant sur le
périmètre de diffusion. Ce
document doit être conservé dans
un meuble fermé à clé
Diffusion en
interne
Papier
Accès restreint aux seuls destinataires figurant dans la liste de
diffusion
Restreint aux seuls destinataires
appartenant au périmètre de
diffusion défini par le propriétaire
Gestion de la liste de diffusion et de ses modifications par le
propriétaire
Gestion du périmètre de diffusion
par le propriétaire
Numérique
Diffusion à la seule initiative du propriétaire des informations
contenues sur le support
Diffusion autorisée sur le seul
périmètre défini par le propriétaire
des informations contenues sur le
support
Diffusion à
des tiers
Tous supports
Engagement individuel de confidentialité avant toute diffusion d'information classifiée à un Tiers;
si nécessaire, se rapprocher de la fonction Juridique pour le formalisme à adopter
Traçabilité Tous supports
Enregistrement obligatoire + acheminement par un moyen de
confiance en autorisant le traçage
Accusé de réception formel signé par le seul destinataire

Type de support
Niveau C4
SECRET
Niveau C3
CONFIDENTIEL
Niveau C2
DIFFUSION RESTREINTE
Accès distant
Poste fixe ou
nomade
Interdit
Autorisé uniquement avec dispositif agréé
Messagerie
électronique
Poste fixe ou
nomade,
smartphone
Autorisé uniquement avec
dispositif de chiffrement agréé
Courrier Tous supports
Double enveloppe : enveloppe intérieure marquée , selon le niveau
«Secret/Confidentiel, ne peut être ouvert que par le destinataire» et
enveloppe externe banalisée
Simple enveloppe fermée avec
mention "ANQPD"
Recommandé avec AR
Alerte en cas d’anomalie de transmission
(perte du support ou dégradation de son emballage)
Porteurs Tous supports
Usage des transports publics
interdit
Télécopie Papier
Interdit
Information préalable de l'envoi au
destinataire
Destinataire présent pour
récupération immédiate de la
télécopie
Copie
Papier Interdite
Uniquement par le propriétaire avec
mise à jour de la liste de diffusion Interdite en dehors du périmètre
de diffusion défini par le
propriétaireNumérique
Interdite, sauf à des fins de sauvegarde , qui doit dans ce cas être
conservée sur un site de l’organisme et bénéficier des mêmes mesures
de protection que l’original
Impression
Poste fixe ou
nomade
Local sous surveillance directe ou
à défaut, dans un local à accès
contrôlé par badge limité aux seuls
habilités à connaître des
informations classifiées C5
Locale sous surveillance directe ou
à défaut, sur imprimante
multifonctions sécurisée
Libre avec récupération
immédiate du document, sauf si
l’accès à l’imprimante est contrôlé
et limité aux seules personnes
habilitées
56

Archivage Tous supports Durée de conservation conformes aux exigences Réglementaires
Archivage
chez un Tiers
Tous supports Interdit Soumis à autorisation Direction
Type de support Niveau C4/ SECRET Niveau C3 / CONFIDENTIEL
Niveau C3 / DIFFUSION
RESTREINTE
Stockage
Papier
Zone à accès contrôlé, en essayant de se rapprocher des exigences
d’une zone rouge
Locaux et mobilier fermant à clé
Espaces
partagés
Chiffrement
Mise en place d'un mot de passe au
démarrage
Espace
individuel
Espace
individuel
amovible
Chiffrement
Procédures
d’accès
Tous supports
Procédures formalisées de gestion d'accès aux coffres et armoires
(main courante des opérations, gestion des clés / badges...)
Procédure formalisée de gestion
des clés du mobilier de stockage
Protection du
contenu
Smartphone
Stockage d'information interdit sur
ce type de support
Chiffrement
Activation d'un mot de passe de
déverrouillage durant l'utilisation
courante
Destruction Tous supports
Tous les originaux et copies (si autorisées).
En cas de départ, l’utilisateur est responsable de la destruction de ses données privées,
(modérées, loyales, non lucratives, conformes aux lois et règles ).
Modalités
Papier Broyeur
Numérique Broyeur numérique Effacement

58
Objectif L’engagement du RT et des collaborateurs à respecter les droits et
les devoirs consécutifs aux obligations légales et aux besoins de
sécurité
Destinataires Tous
Opposabilité Forte, si expliquée en toute transparence
Complexité Moyenne
Contexte Tous, a minima pour les RT traitant des DCP Confidentielles ou
Secrètes
Pérennité Moyenne
Nécessité Forte pour les RT traitant des DCP du Confidentielles ou Secrètes
Mesure Nombre de collaborateurs formés

59
Plan de prévention des
risques
Plan de continuité d’activité
Politique Générale de Protection de l’Information
Politique de
Protection de la vie
privée externe
Politique de Protection de la vie privée interne
PSSI
Politique de Sécurité SI
PCO
Plan de
continuité
des
opérations
PHEB
Plan
d’hébergement
PCOM
Plan de
comm.
PSI
Plan de
secours
informatique
Plan de
Formation
Plan de gestion de crise
Gouvernance
Le Plan de Continuité d’Activité / Résilience

60
Objectif L’engagement du RT à continuer ou reprendre les T face à un ou des
sinistres majeurs
Destinataires Les collaborateurs voire les ST si besoin Vital ou Essentiel
Opposabilité Forte, si expliquée
Complexité Très forte
Contexte A minima pour les RT traitant des DCP vitales ou essentielles
Pérennité Moyenne
Nécessité Maximale pour les RT traitant des DCP vitales ou essentielles en
fonction de la vraisemblance des sinistres
Mesure Tests de PCA
Le Plan de Continuité d’Activité / Résilience

DCP
SI
Opérationnel
Contrôles
• Récurrents
• Évènementiels
Pilotage
Stratégique
SSI
Vie
privée
DSI /
ST CA
Métier
En toute
indépendance
Le contrôle

62
Etablissement de la convention
d’audit
Préparation et déclenchement
de l’audit
Exécution de l’audit
Réunion de restitution
Elaboration du rapport d’audit
Conclusion de l’audit
Le contrôle

63
La convention
d’audit établie entre
le prestataire d’audit
et le RT doit :
• décrire le périmètre et les modalités de l’audit (jalons, livrables attendus en entrée,
livrables prévus en sortie, objectifs, champs et critères de l’audit, etc.)
• préciser la RACI et le besoin d’en connaître
• prévoir que l’audit ne peut débuter sans une autorisation formelle du
commanditaire de l’audit
• préciser les actions
• préciser les dispositions
• préciser les modalités de conservation
• prévoir les livrables ainsi que leurs modalités de restitution
• décrire les publics destinataires des recommandations présentes dans le rapport
d’audit
• préciser les modalités (contenu, forme, portée, etc.) de rédaction des
recommandations
Il est recommandé que la convention prévoie une procédure de recueil du
consentement des audités et des éventuels partenaires pour la réalisation de l’audit
Le contrôle

64
• Une synthèse, compréhensible par des non experts, qui précise :
• le contexte et le périmètre de l’audit
• les vulnérabilités critiques, d’origine technique ou organisationnelle,
et les mesures correctives proposées
• l’appréciation du niveau de sécurité du système d’information audité
par rapport à l’état de l’art et en considération du périmètre d’audit.
• Un tableau synthétique des résultats de l’audit, qui précise :
• la synthèse des non conformités / vulnérabilités relevées, classées
selon une échelle de valeur ;
• la synthèse des mesures correctives proposées, classées par
criticité et par complexité ou coût estimé de correction ;
• Peut également présenter des recommandations générales associées à
des non conformités / vulnérabilités et destinées à conseiller l’audité pour
les actions liées à la SSI qu’il entreprend.
• Doit mentionner les réserves relatives à l’exhaustivité des résultats de
l’audit (liées aux délais alloués à l’audit, à la disponibilité des informations
demandées…) ou à la pertinence de la cible auditée.
L’amélioration continue

65
Objectif Se mettre en conformité, protéger les libertés fondamentales et la vie
privée des PC
Destinataires Le RT, le COPIL, la CNIL
confidentielles ou secrètes
Pérennité Moyenne
Mode de communication Réunion avec le RT, les directions métiers
Nécessité Maximale pour les RT traitant des DCP vitales ou essentielles,
Cohérence avec la qualité Maximale
Mesure Périmètres et périodicité
Le contrôle

66
4. Contexte de l’organisation
4.1 Compréhension de l’organisation et de son
contexte
4.2 Compréhension des besoins et des attentes des
parties intéressées
4.3 Détermination du domaine d’application du SMSI
4.4 SMSI
5. Leadership
5.1 Leadership et engagement
5.2 Politique
5.3 Rôles, responsabilités et autorités au sein de
l’organisation
6. Planification
6.1 Actions liées aux risques et opportunités
6.2 Objectifs de sécurité de l’information et plans pour les
atteindre
7. Support
7.1 Ressources
7.2 Compétence
7.3 Sensibilisation
7.4 Communication
7.5 Informations documentées
10.Amélioration
10.1 Non-conformité et actions correctives
10.2 Amélioration continue
8. Fonctionnement
8.1 Planification et contrôle opérationnels
8.2 Appréciation des risques de sécurité de l’information
8.3 Traitement des risques de sécurité de l’information
9. Évaluation des performances
9.1 Surveillance, mesures, analyse et évaluation
9.2 Audit interne
9.3 Revue de direction
Politique du Système de Management d’amélioration
continue
Définition d’objectifs mesurables pour les libertés
fondamentales et la protection de la vie privée
AIPD / Privacy by
design
Politique de Protection de
la vie privée à usage
interne
Audit

67
Objectif Optimiser de manière institutionnalisée et tenir compte de l'évolution
du contexte
Destinataires Le RT, le COPIL, la CNIL
Valeur probante Très Forte
Pérennité Moyenne
Mode de communication Tous
Nécessité Maximale pour les RT traitant des DCP vitales ou essentielles,
Cohérence avec la qualité Maximale
Mesure Périmètres et périodicité

68
Conclusion
• Ne pas faire pour « dire que l’on à fait » afin de répondre positivement au questionnaire
d’audit
• Faire pour être efficace et conforme
• Ne pas oublier la relativité des contextes, des T et des DCP, des risques donc des politiques
appropriées
• Ne jamais oublier que la formalisation des règles, c’est bien, les expliquer en toute
transparence c’est beaucoup mieux, afin de les respecter
• La formalisation des règles et leurs explications restent un préalable à l’engagement de
responsabilité

Politiques de protection de la vie privee et sécurité système d'information

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Politiques de protection de la vie privee et sécurité système d'information

Similar to Politiques de protection de la vie privee et sécurité système d'information (20)

Politiques de protection de la vie privee et sécurité système d'information