ISO 27701 : le Système de Management des Informations Privées (SMIP)

Magazine
Marque
MISC
Numéro
107
|
Mois de parution
janvier 2020
|
Domaines


Résumé

L’article 32 du RGPD formalise clairement non seulement les exigences organisationnelles et techniques de sécurité à apporter aux traitements de données à caractère personnel afin de limiter les risques sur la vie privée pour les personnes concernées, mais aussi les exigences d’évaluation et d’amélioration continue permettant de tester et de contrôler régulièrement la conformité et l’efficacité des mesures juridiques et de sécurité. Nous nous intéresserons à synthétiser la nouvelle norme ISO 27701 (août) 2019) formalisant les exigences d’un Système de Management des Informations Privées (SMIP) dans un but d’amélioration continue des mesures organisationnelles et techniques pour assurer la sécurité des traitements de données à caractère personnel. Nous montrerons comment l’implémentation du SMIP permettra aux organismes d’assurer leurs devoirs de conformité au RGPD, d’amélioration continue voire de certification.


La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Quelques gestes éco-responsables à adopter sur son lieu de travail et chez soi

Magazine
Marque
Linux Pratique
Numéro
120
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Alors que l’on évoque souvent les bonnes habitudes à mettre en place chez soi pour préserver l’environnement, réduire son impact environnemental est aussi possible sur son lieu de travail où l’on pourra chercher à développer des habitudes plus éco-responsables. On pourra ainsi se pencher sur la question de ses dépenses en énergies, sur son choix et son utilisation des équipements informatiques. Les pistes sont nombreuses pour mettre en place des comportements qui permettront de réduire votre empreinte numérique. Les bonnes pratiques décrites dans cet article pourront tout aussi bien été appliquées sur votre lieu de travail que chez vous.

Contrôles de suivi de la conformité RGPD et d’atteinte d’objectifs définis dans la politique de protection de la vie privée

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Afin de mettre en application les exigences de contrôle de conformité (article 24 du RGPD), les directions générales, qu’elles aient désigné ou non un Délégué à Protection des Données (DPD), doivent mettre en œuvre des contrôles concernant les répartitions de responsabilités entre les acteurs impliqués par le traitement et l’application de règles opposables, l’effectivité des droits des personnes concernées, la sécurité des traitements et la mise à disposition des éléments de preuve pour démontrer la conformité des traitements de données à caractère personnel.

Carbonalyser, un outil pour mesurer l’impact écologique de nos activités numériques

Magazine
Marque
Linux Pratique
Numéro
119
|
Mois de parution
mai 2020
|
Domaines
Résumé

Difficile de se faire une idée de l’empreinte écologique que peuvent représenter nos activités informatiques, à commencer par notre consommation numérique en ligne. C’est pourquoi le Think Thank TheShiftProject a créé l’extension pour navigateur Carbonalyser [1] qui va permettre non seulement de visualiser notre consommation électrique, mais aussi nos émissions de gaz à effet de serre suite à notre navigation sur la Toile. Ce projet se décline également en application mobile pour nous permettre de suivre l’impact de nos activités sur notre smartphone.

Un œil technique sur les sanctions de la CNIL

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

Près de trois quarts des sanctions prononcées par la Commission Nationale de l’Informatique et des Libertés (CNIL) ont parmi leurs causes des vulnérabilités techniques de sécurité. À partir de ce constat, et au prisme de notre expérience à la fois en cybersécurité technique et en protection des données à caractère personnel, nous avons analysé les sanctions de la CNIL publiées sur le site https://www.legifrance.gouv.fr/. Nous avons notamment établi une correspondance avec les catégories de vulnérabilités techniques identifiées dans la nomenclature du top 10 de l'OWASP 2017 (Open Web Application Security Project). Nous avons également étudié les fuites de données majeures survenues en Europe et dans le monde. Il en ressort que les vulnérabilités les plus communes sont liées à l’authentification, au contrôle d’accès et à la protection des données au repos et en transit.

Intelligence artificielle : la grande méprise

Magazine
Marque
Linux Pratique
Numéro
118
|
Mois de parution
mars 2020
|
Domaines
Résumé

Que ce soit dans les salons professionnels, la presse spécialisée ou même les publicités adressées au grand public, on n’échappe pas à l’intelligence artificielle. Pourtant, derrière ce terme, finalement très fourre-tout, il existe une véritable science. Mais entre l’état de l’art et ce qui existe réellement, il y a une différence qui change la donne.

Par le même auteur

Contrôles de suivi de la conformité RGPD et d’atteinte d’objectifs définis dans la politique de protection de la vie privée

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Afin de mettre en application les exigences de contrôle de conformité (article 24 du RGPD), les directions générales, qu’elles aient désigné ou non un Délégué à Protection des Données (DPD), doivent mettre en œuvre des contrôles concernant les répartitions de responsabilités entre les acteurs impliqués par le traitement et l’application de règles opposables, l’effectivité des droits des personnes concernées, la sécurité des traitements et la mise à disposition des éléments de preuve pour démontrer la conformité des traitements de données à caractère personnel.

ISO 27701 : le Système de Management des Informations Privées (SMIP)

Magazine
Marque
MISC
Numéro
107
|
Mois de parution
janvier 2020
|
Domaines
Résumé

L’article 32 du RGPD formalise clairement non seulement les exigences organisationnelles et techniques de sécurité à apporter aux traitements de données à caractère personnel afin de limiter les risques sur la vie privée pour les personnes concernées, mais aussi les exigences d’évaluation et d’amélioration continue permettant de tester et de contrôler régulièrement la conformité et l’efficacité des mesures juridiques et de sécurité. Nous nous intéresserons à synthétiser la nouvelle norme ISO 27701 (août) 2019) formalisant les exigences d’un Système de Management des Informations Privées (SMIP) dans un but d’amélioration continue des mesures organisationnelles et techniques pour assurer la sécurité des traitements de données à caractère personnel. Nous montrerons comment l’implémentation du SMIP permettra aux organismes d’assurer leurs devoirs de conformité au RGPD, d’amélioration continue voire de certification.

L’intégration du « Privacy by Design » et de la SSI dans la gestion de projets en mode V ou Agile

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

L’analyse de l’actualité ne cesse de nous alerter sur la très faible prise en compte de la sécurité native dans un grand nombre de projets et plus particulièrement sur la sous-estimation de l’intégration des exigences de protection de la vie privée.Les articles 25 du RGPD « Protection des données dès la conception et protection des données par défaut » et 32 « Sécurité du traitement », formalisent l’obligation pour le responsable du traitement de prendre en compte les exigences juridiques et techniques pendant toutes les phases des projets de la conception jusqu’à la fin de vie du système cible.Nous nous attacherons à identifier les principaux acteurs concernés et leurs modes de concertation dans les gestions de projets en V ou Agile.Nous chercherons à souligner les points d’attention et d’amélioration dans les deux méthodes.

Comment concevoir son référentiel « protection de la vie privée » en cohérence avec le référentiel SSI ?

Magazine
Marque
MISC
Numéro
103
|
Mois de parution
mai 2019
|
Domaines
Résumé

Le chapitre IV, section 1, article 24 et l’article 32 dans la section 2 du Règlement Général pour la Protection des Données, formalisent les obligations générales du responsable du traitement en matière de sécurité : la mise en œuvre de mesures techniques et organisationnelles appropriées, au regard des risques pour la vie privée des personnes concernées, la définition et l’application de politiques adaptées au contexte et surtout la capacité de démontrer que le traitement est effectué en conformité avec le Règlement. Le responsable du traitement doit mettre en œuvre des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité ainsi que la résilience constante des systèmes et des services de traitement. Nous nous attacherons ici à analyser comment le Délégué à la Protection des Données (DPD) doit concevoir l’ensemble des règles de protection de la vie privée et de sécurité des données à caractère personnel en interaction et en cohérence avec les exigences stratégiques, fonctionnelles, opérationnelles et techniques de la SSI.

Maturité d’entreprise et plan d’action pour la mise en conformité avec le GDPR

Magazine
Marque
MISC
Numéro
94
|
Mois de parution
novembre 2017
|
Domaines
Résumé
Les organismes et entreprises doivent être conformes aux exigences du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données en mai 2018. À un an de l’échéance, un grand nombre d’organisations n’a pas formalisé de démarche, ni initialisé de plans d’action. Nous nous intéressons ici à la formalisation d’un plan d’action juridique, organisationnel et technique adapté en soulignant les difficultés inhérentes à un profil de maturité.

L’évolution de la fonction CIL vers la fonction DPO

Magazine
Marque
MISC
Numéro
90
|
Mois de parution
mars 2017
|
Domaines
Résumé
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données définit dans la section 4, articles 37, 38 et 39 la désignation du Délégué à la Protection des Données, ses fonctions et ses missions. Le G29 a adopté le 13 décembre 2016 un « Guidelines on Data Protection Officers » afin d’aider les organismes à se mettre en conformité dans la désignation du DPO. Pourtant, un grand nombre d’organismes au sein de l’union se pose un grand nombre de questions dans l’interprétation de ces différents textes. Le DPO est-il simplement le nouveau nom du Correspondant à la Protection des données (CIL) pour la France ou s’agit-il d’une nouvelle fonction ? Comment intégrer la répartition des fonctions dans la gouvernance pour la sécurité des données à caractère personnel et la protection de la vie privée ?