Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cybersécurité & protection des données personnelles

96 views

Published on

L'Intervention de Mohamed MDELLAH dans le cadre du Workshop régional co-organisé par l'UIT et AICTO portant sur l'expérience de Tunisie Telecom en matière de protection des données personnelles en rapport avec le Cloud Computing

Published in: Law
  • Be the first to comment

  • Be the first to like this

Cybersécurité & protection des données personnelles

  1. 1. Cybersécurité & Protection des Données Personnelles Mohamed MDELLAH Directeur Contentieux Tunisie Telecom Retour sur l’expérience de Tunisie Telecom
  2. 2. Introduction I- De l’intérêt de la protection de l’information en général et des données à caractère personnel en particulier. Les enjeux de la sécurité des données : Sécurité des données informatiques, Ciblage de la population en fonction de leurs intérêts, Identification des données nécessaires à la protection de la santé, Secret des affaires, Marketing, veille concurrentielle, Recherche et développement, Traçabilité et preuve et Protection des données personnelles… etc Une réalité: l’émergence de l’information dans sa globalité a fait de celle-ci une source de l’économie moderne. Un but: La collecte, la propriété voire même l’expropriation de l’information permet une meilleure compréhension des situations. L’importance: Avec le développement des ordinateurs L’information a acquis une «une valeur marchande» et est devenu «un bien commercial» utilisé dans « les batailles » commerciales Favorisation de la confidentialité, L'intégrité, La disponibilité des données Le besoin/intérêt: la société, en tant que structure socio-économique, a prouvé un besoin et un intérêt à la protection des données à caractère personnel. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 2
  3. 3. II- Pourquoi protéger les données à caractère personnel La collecte des données à caractère personnel n’est pas un phénomène nouveau mais l’évolution de l’automatisation à travers des ordinateurs à performance accrue a fait développer une activité lucrative connexe basée sur la collecte des données personnelles à l’insu même des personnes concernées Le traitement automatisé des informations en général et des données personnelles à des moyens informatiques divers a fait augmenter les risques d’accès non autorisées et aux manipulations inopinées de ces données (des buts autres que ceux énoncés). La perte de contrôle de ces données suite traitement par des ordinateurs non ou peu sécurisés rendant facile le vol de ces données La protection des données à caractère personnel est une porte à affranchir vers la sécurisation globale des informations/données. Le besoin se sent généralement sur le plan juridique (insuffisance des textes) 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 3
  4. 4. Les fondements juridiques de la sécurité des données à caractère personnel De l’obligation nait le Droit et le droit Le Droit de la personne à une protection optimale de ses données personnelles La nécessité et l’obligation d’imposer aux structures qui collectent des données à caractère personnel de mettre en application les principes et les règles juridiques obligatoires. Des principes fondamentaux qui sont édictés dans des textes juridiques (Constitutions, Conventions Internationales, lois, décrets..) Textes Juridiques  les lignes directrices de l’OCDE adoptés le 23/09/1980 portant harmonisation des législation nationales relatives à la protection de la vie privée et les données personnelles et les flux transfrontalières des données à caractère personnel,  les lignes directrices de l’ONU adoptées le 14/12/1990, pour la réglementation des fichiers informatisés des données à caractère personnel,  la convention européenne du 28/01/1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel  la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données,  La convention africaine sur la cybersécurité et la protection des données à caractère personnel du 27/06/2014. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 4
  5. 5. Sur le plan national  L'article 24 de la constitution (2014)  Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel.  Loi organique n°2012-23 du 20 décembre 2012 relative à l'instance supérieure indépendante pour les élections, article 23 faisant allusion à la législation relative à la protection des données personnelles  Loi organique n° 2013-43 du 23 octobre 2013, relative à l’instance nationale pour la prévention de la torture, Article 14 faisant allusion à la législation relative à la protection des données personnelles  Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel.  Décret n°2008-3026 du 15 septembre 20008 fixant les conditions générales d’exploitation des réseaux publics des télécommunications et des réseaux d’accès tel qu’il a été modifié et complété par le décret n°2014-53 du 10 janvier 2014 (Article 6 par. B, C et D)  Décret n°2013-4506 du 6 novembre 2013 relatif à la création de l'agence technique des télécommunications et fixant son organisation administrative, financière et les modalités de son fonctionnement (Article 2). 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 5
  6. 6. Des principes interdépendants  Une obligation de sécurité (d’ordre légal): les données collectées doivent être protégées par des mesures de sécurité appropriées selon le degré et le niveau de leur sensibilité, l’entreprise, exposée à des risques et menaces à la sécurité, doit en mesure de contrôler l’accès.  La responsabilité de l’organisation des données personnelles qu’elle détient sous son contrôle  Justification des finalités de la collecte (à priori ou pendant l’opération),  Le consentement libre de l’individu à propos de la collecte, le traitement de ses données et sont à le retirer en tout temps sous réserves des restrictions légales  Limitation de la collecte au strict nécessaire pour atteindre les finalités déjà exprimées et fixées. Les données ne doivent être utilisées à des fins autres que celles approuvées et ne doivent être conservées que durant les périodes nécessaire à la réalisation des fins  La qualité des données collectées exige que les données collectées doivent être justes, exactes, complète et mises à jour  La transparence: l’organisation doit assurer à l’individu la disponibilité des données et lui faciliter l’accès  L’accès libre de l’individu à ses données collectées et la possibilité de contester l’exactitude et l’intégralité des données  Le droit de se plaindre du non respect des principes et l’obligation de l’organisation de faire l’enquête nécessaire pour déterminer les responsabilités et donner suite aux plaintes. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 6
  7. 7. Retour sur L’expérience de Tunisie Telecom Pionnière du secteur des télécoms en Tunisie et en tant qu’opérateur global, Tunisie Telecom assure à sa clientèle une panoplie de produits, services de téléphonie, fixe et mobile ainsi que de l’internet en plus des prestations y attachés.  Procède de façon quotidienne à des opérations de collecte des Données à Caractère Personnel: – Directement à travers ses différents services compétents. – Indirectement à travers des sous-traitants (ex. les distributeurs, les FSI et les FSVA…)  A l’instar des autres entreprises, Tunisie Telecom assure la pérennité de ses biens et la protection de ses locaux à travers les moyens de vidéo-surveillance, Dans les deux cas, On se trouve devant des opérations de Traitement des données à caractère personnel soumises à des dispositions légales à respecter dont l’enjeu dépasse le simple devoir légal pour toucher la sécurité voire encore la réputation. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 7
  8. 8. Retour sur L’expérience de Tunisie Telecom Attentive à ces prescriptions Tunisie Telecom n’a pas tardé à se conformer aux dispositions légales imposées par loi organique du 27 Juillet 2004 portant sur la protection des données à caractère personnel et le Décret du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel.  2 obligations majeures qu’elle a accomplie auprès de l’INPDP (art.7 et 69 de la loi) et a obtenu les décisions correspondantes: NB: TT est tenue, en cas de nécessité, de saisir l’Instance pour mettre à jour son statut en tant que responsable de traitement des données à caractère personnel 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 8
  9. 9. Retour sur L’expérience de Tunisie Telecom  Elle a adopté récemment une charte de sécurité qui détermine les politiques spécifiques de sécurité de l’information y compris celle relative à la protection des données à caractère personnel basée sur les principes de PDCP à savoir; la finalité, la proportionnalité, la pertinence, la durée limitée de conservation des données, sécurité et confidentialité, transparence des données et au respect du droit de la personne à l’information, à l’accès, à la rectification et à l’opposition 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 9
  10. 10. Retour sur L’expérience de Tunisie Telecom  Personnaliser l’accès pour la délimitation des responsabilité et pouvoir garder un droit de supervision sur les opérations de collecte et de traitement des données à caractère personnel,  Centraliser au niveau de la DCAJ, le traitement des requêtes et réquisitions de l’appareil judiciaire,  Mesures d’ordre interne ayant pour but de sensibiliser les employés de TT de l’importance de la collecte et du traitement des données à caractère personnel et de devoir à leur préserver la diligence nécessaire,  Limiter l’accès aux applications dédiées, aux employés compétents sous condition d’obtenir au préalable auprès de la DCSI des log in et MP,  Prendre les mesures nécessaires à l’égard des contrevenants. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 10
  11. 11. Les problématiques liées au Cloud Computing Le Cloud Computing est un mode évolué de traitement des données (sur Internet ou au sein d’un Réseau Privée Virtuel) à travers la location des capacités de (stockage, logiciel, environnement…) En raison de sa structure, différents types de risques doivent être pris en considération y compris ceux d’ordre juridique:  la perte de contrôle sur les données  Non respect des dispositions légales  Usage abusif des données  La détermination des personnes du responsable de traitement et du sous-traitant  La garantie d’un niveau de protection des DP en cas de transfert des données à l’étranger  Le droit applicable En raison de l’absence d’un cadre réglementaire spécifique au Cloud Computing, il faut se référer au cadre général en la matière à savoir la loi du Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel. La nécessité d’un cadre contractuel fiable qui:  - Matérialiser les exigences de sécurité et de confidentialité  - assurer l’exercice des droits des parties  - Définir clairement les responsabilités  - Déterminer les juridictions compétentes 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 11
  12. 12. Les réponses juridiques aux problématiques liées au Cloud De point de vu droit des données à caractère personnel, le traitement des données personnelles découlant du Cloud Computing impose au prestataire de:  Se conformer entièrement aux dispositions légales et aux clauses contractuelles de même que le sous traitant  Superviser/contrôler le sous-traitant étant donné que les rapports prestataire/Sous traitant ne sont pas transmis à l’utilisateur de service.  Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles  Assurer la confidentialité, la disponibilité et l’intégralité des données personnelles  L’utilisateur doit avoir le droit d’accès, de rectifier et d’effacer ses données à tout moment et dans le respect total des dispositions légales en vigueur 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 12
  13. 13. Position de Tunisie Telecom? Des services cloud offerts depuis le 16 juin 2015 avec, une capacité d’hébergement à travers ses (3) Data Center dont un est certifié ISO/IEC 27001:2013 attestant sa conformité aux normes internationales de sécurité informatique (ce qui prouve le niveau de sécurité atténué) Une situation régularisée à l’égard de la loi régissant la protection des données à caractère personnel Une nouvelle charte adoptée en matière de la politique suivie en matière des données personnelles Des engagements formelles pour protéger la vie privée et les données personnelles. Coté cadre contractuel: des CG d’abonnement au services cloud déterminant les droits et les obligations des parties. Cela n’empêche qu’un cadre réglementaire cohérent et spécifique au Cloud Computing et un système de veille réglementaire et juridique pourrait favoriser les avantages d’un tel service. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 13
  14. 14. Avant de clôturer: 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 14
  15. 15. Merci de votre attention

×