Embed Size (px)
DESCRIPTION
Quelle quantité de données stratégiques doit rester confidentielle ? Que savoir pour protéger vos données ? Quel rôle vos partenaires TIC jouent-ils? Ce guide répond aux questions des dirigeants de PME. Nous vous y dressons le contexte, y prodiguons des conseils utiles et expliquons le rôle de vos partenaires TIC.
Citation preview
Livre blanc
Protection de vos données
Comment vos partenaires TIC peuvent-ils vous aider ?
2
Contenu1. Au-delà de la réglementation, une tendance qui prend
de l’ampleur. 32. Pourquoi les données sont-elles importantes et qui en
est responsable ? 33. Que devez-vous faire et que doivent faire vos partenaires TIC ? 44. Annexe A 5
Quelle quantité de données stratégiques doit rester confidentielle ? Que savoir pour protéger vos données ? Quel rôle vos partenaires TIC jouent-ils ?
Ce guide répond aux questions des dirigeants de PME. Nous vous y dressons le contexte, y prodiguons des conseils utiles et expliquons le rôle de vos partenaires TIC.
3
Jamais autant de données d’entreprise n’ont été récoltées. Pensez simplement à votre entreprise, à vos business plans, à vos e-mails et documents confidentiels. Sans compter les données sensibles de vos clients qui ne souhaitent en aucun cas les savoir entre des mains étrangères.
L’utilisation des données, correcte ou frauduleuse, fait régulièrement les gros titres dans les médias. Les entreprises du monde entier ont souvent été discréditées et condamnées à des amendes à cause de spectaculaires failles de sécurité, d’embarrassantes bévues et erreurs informatiques.
Les législateurs souhaitent offrir des mesures de sauvegarde et de protection. Une propositions de règlement est étudiées par l’Union européenne. Les pays appliquent également leur propre réglementation. Face au rythme effréné des nouvelles technologies, il est complexe pour les autorités de suivre et de faire face aux défis liés à chaque innovation.
Les législateurs éprouvent également des difficultés à gérer à la fois le droit à la confidentialité des données personnelles des individus et la façon dont ces dernières permettent aux entreprises actuelles de répondre dynamiquement aux attentes de ces mêmes personnes.
Ce n’est pas une nouvelle loi qui motive aujourd’hui l’attente d’une meilleure protection des données au sein de l’Union européenne. C’est une tendance suivie par les entreprises et les autorités publiques qui reconnaissent l’importance de leur responsabilité vis-à-vis de leurs données.
Les entreprises prennent l’initiativeDe nombreuses entreprises élaborent leurs propres programmes de protection des données à grande échelle. Elles couvrent l’ensemble de leurs activités et incluent leurs partenaires TIC. Ces programmes reflètent leurs obligations légales et incluent leurs politiques d’entreprise s’appliquant à leurs employés et partenaires commerciaux.
Une stratégie de gestion des données complexe pourrait s’avérer trop lourde pour la plupart des petites entreprises. Toutefois, il est très important pour votre entreprise d’offrir une réponse modérée, pragmatique et conforme à la législation face à cette problématique. Les services fournis par vos partenaires TIC revêtent également un rôle majeur.
Alors par où commencer ?
Votre entreprise peut être responsable du traitement de données personnelles. Il arrive que vos employés ajoutent, modifient ou suppriment certaines données. Vous êtes responsable des données conservées et de leur utilisation. À ce titre, votre entreprise endosse presque systématiquement le rôle de « responsable du traitement » au sens de la directive européenne 95/46 sur la protection des données personnelles.
Ces données personnelles sont également sous-traitées à différents types de fournisseurs. Par exemple, les fichiers sont utilisés dans des applications. Une fois enregistrés, ils peuvent être transférés depuis un ordinateur portable via le réseau vers le serveur qui héberge les applications de votre entreprise. Il est important que les données soient protégées pendant les phases de création, de transfert et de stockage. Ce rôle de « sous-traitant de données » au sens de la directive peut incomber à votre entreprise, à un prestataire TIC ou aux deux.
1. Au-delà de la réglementation, une tendance qui prend de l’ampleur.
2. Pourquoi les données sont-elles importantes et qui en est responsable ?
Des informations commerciales stratégiques relatives à votre entreprise
Il peut s’agir d’information sur la conception de vos produits, de la tarification, de vos contrats ou d’obligations légales pour vos clients.
Des données personnelles conservées
Relatives à vos clients, par exemple, ou à vos employés, vos sous-traitants et fournisseurs. Il peut s’agir d’e-mails, d’enregistrements d’appels et d’informations personnelles sur les utilisateurs.
Des données régies par les réglementations du secteur
Les entreprises ont l’obligation de conserver des dossiers financiers pendant une période définie : certaines les stockent sur un support numérique. Certaines professions peuvent être sujettes à des réglementations spécifiques sur la conservation des données.
Chaque entreprise fonctionne différemment. Voici néanmoins quelques conseils pratiques.
Votre entreprise protège trois types de données.
4
La directive 95/46 de l’Union européenne fixe une norme minimale de protection des données personnelles au sein de l’Union européenne. Certains États membres ont adopté une approche plus stricte dans leurs lois et règlements nationaux. Chaque État membre de l’Union européenne compte un organisme de surveillance qui contrôle la conformité avec les lois de protection des données à l’échelle nationale.
Quelques étapes clésPour assurer sa conformité avec les réglementations nationales, votre entreprise doit protéger ses données contre la destruction accidentelle ou illégale, la perte, la modification. Vous pouvez y parvenir de plusieurs façons :
•En respectant les réglementations sur la protection des données dans votre pays (reportez-vous à l’annexe A pour accéder à d’autres sources d’information)
•En mettant en place des consignes à appliquer par vos employés afin d’assurer la protection de vos données
•En vous assurant que toute technologie que vous développez répond à cet objectif
•En vous assurant que vos partenaires TIC répondent à vos attentes en matière de traitement des données.
Découvrez comment vos partenaires TIC peuvent vous aider
Il vous incombe de vérifier que vos partenaires TIC agissent conformément à votre politique.
Ceci peut être formalisé de deux manières :
1. Par une assurance écrite Vos partenaires TIC peuvent fournir des assurances écrites qui attestent que vos données sont protégées par le service qu’ils fournissent. Ils peuvent par exemple utiliser des supports marketing, des assurances contractuelles, ou s’appuyer sur des normes de sécurité comme ISO27001 ou toute autre certification.
2. Par un audit Le service de votre fournisseur TIC peut être audité en interne ou par un tiers pour prouver qu’il respecte les normes de conformité. L’audit porte sur l’entreprise, les stratégies, les process et les systèmes du fournisseur TIC. Les fournisseurs TIC peuvent facturer des frais supplémentaires si un audit externe est exécuté.
Ces deux moyens sont acceptables sauf stipulation contraire dans les réglementations locales. Par exemple, la réglementation espagnole sur la protection des données précise que les les responsables du traitement de données personnelles et leurs sous-traitants de données doivent faire l’objet d’un audit exécuté par un tiers tous les deux ans. Cependant, l’Espagne est le seul pays à imposer une telle mesure. Reportez-vous à l’annexe A pour obtenir des informations sur les réglementations propres à votre pays.
3. Que devez-vous faire et que doivent faire vos partenaires TIC ?
Ce tableau indique qui est généralement responsable du traitement de données personnelles ou sous-traitant de données personnelles.
Modèle de service TIC Qui fait quoi ?Responsable du traitement des données personnelles
Sous-traitant de données personnellesApplications Middleware et système
d’exploitationEnvironnement de machine virtuelle
Interne Votre entreprise Votre entreprise Votre entreprise Votre entreprise
Colocation Votre entreprise Votre entreprise Votre entreprise Votre entreprise
Système dédié, managé et hébergé
Votre entreprise Votre entreprise Votre Partenaire TIC Votre Partenaire TIC
Infrastructure-as-a-Service Votre entreprise Votre entreprise Votre Partenaire TIC Votre Partenaire TIC
Software-as-a-Service Votre entreprise Votre Partenaire TIC Votre Partenaire TIC Votre Partenaire TIC
Les rôles et responsabilités dépendent du type de modèle de vos services TIC. Par exemple, toutes vos ressources TIC peuvent être détenues et gérées en interne ou en externe.
En savoir plusPour plus d’informations sur la manière dont les solutions Colt vous aident à protéger vos données, contactez votre responsable de compte Colt.
5
4. Annexe A
La directive de l’Union européenne 95/46 fixe une norme minimale de protection des données personnelles au sein de l’Union européenne. Certains États membres ont adopté une approche plus stricte dans leurs réglementations locales.
Vous trouverez des détails spécifiques et des conseils sur les sites Web officiels de chaque pays indiqués ci-dessous.
La directive de l’Union européenne 95/46 est accessible ici :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046
Autriche https://www.dsk.gv.at/Belgique http://www.privacycommission.be/Danemark http://www.datatilsynet.dk/ France http://www.cnil.fr/Allemagne http://www.bfdi.bund.de/Irlande http://www.dataprotection.ie/Italie http://www.garanteprivacy.it/web/guest/homePortugal http://www.cnpd.pt/Espagne http://www.agpd.es/Suède http://www.datainspektionen.se/Suisse http://www.edoeb.admin.ch/datenschutz/Pays-Bas http://www.cbpweb.nl/UK http://www.ico.org.uk/
© 2014 Colt Technology Services Group Limited. The Colt name and logos are trade marks. All rights reserved.
La Sphère de sécurité (Safe Harbor) propose un mécanisme volontaire par lequel les entreprises américaines certifient qu’elles adhèreront à un ensemble d’obligations concernant la protection des données personnelles similaires aux conditions prévues par l’Union européenne.
Ces accords sont considérés par l’Union européenne comme offrant une protection adéquate pour les informations personnelles transférées aux États-Unis. Vous trouverez des informations sur les entreprises américaines qui adhèrent à ces principes sur le site Web de la Sphère de sécurité.
La Federal Trade Commission des États-Unis est chargée de faire appliquer les principes de la Sphère de sécurité. Toutefois, les services financiers et les opérateurs télécoms américains en sont exclus. La certification de la Sphère de sécurité n’est valide que pendant une période d’un an. Si vous sollicitez les services d’une entreprise américaine concernée, pensez à vérifier que sa certification est à jour.
L’entreprise Colt, européenne, n’est pas soumise à la réglementation américaine. Avec ses data centres répartis en Europe, elle ne s’inscrit pas dans le champ du schéma de la Sphère de sécurité. Comme expliqué précédemment, Colt respecte les réglementations de l’Union européenne et des États membres vis-à-vis de la protection des données personnelles.
Le USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act 2001, Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et combattre le terrorisme) est entré en vigueur en réponse directe aux événements du 11 septembre 2001 aux États-Unis. Il habilite les forces de l’ordre fédérales américaines à obtenir et partager les informations impliquant le renseignement extérieur ou le contre-espionnage.
Les États-Unis ne sont pas les seuls à appliquer ce type de lois. La plupart des États membres de l’Union européenne mettent en oeuvre des dispositions similaires ou plus étendues concernant l’accès aux données dans le cadre de l’application de la loi et de la sécurité nationale.
Les autorités américaines peuvent tout à fait demander des données détenues par des entreprises européennes comme Colt, qui entretient des relations avec les États-Unis. Ce type de demande peut être effectué en vertu du Patriot Act. Toutefois, conformément à la loi en vigueur au sein de l’Union européenne, Colt n’est nullement tenu d’y répondre.
Qu’en est-il de la Sphère de sécurité liant les États-Unis et l’Union européenne ?
Qu’en est-il de l’USA Patriot Act 2001 ?
Contactez nousTel. 0 800 94 99 44 | Email | www.colt.net/fr
A propos de ColtColt est la plateforme d’échanges d’informations pour les entreprises en Europe, permettant à ses clients de partager, traiter et stocker leurs informations d’entreprise vitales. Colt est un acteur majeur des solutions réseaux et IT managées intégrées à destination des grands comptes, petites et moyennes entreprises et opérateurs et fournisseurs de services. Colt est présent dans 22 pays, la société a déployé et gère un réseau de 44 000 km incluant des boucles locales dans 39 grandes villes d’Europe, 19.000 bâtiments connectés en fibre optique et 20 data centres Colt.
L’activité DCS (Data Centre Services) de Colt, lancée en 2010, conçoit des data centres modulaires - associés à une multitude de services - à haute efficiente énergétique et rapides à déployer sur site Colt ou site client.
En complément de sa stratégie de vente directe, Colt propose également ses services au travers de quatre canaux de ventes indirectes : les agents commerciaux, les franchises, les distributeurs et le canal ‘wholesale’ regroupant les opérateurs, prestataires de services, VAR’s et revendeurs spécialisés en services voix.
Colt est coté à la bourse de Londres (COLT). Les informations relatives à Colt et à ses services sont disponibles sur www.colt.net/fr.
