ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met





télécharger 28.9 Kb.
titreED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met
date de publication27.01.2017
taille28.9 Kb.
typeDocumentos
m.20-bal.com > loi > Documentos

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi « Informatique et Libertés » de l’ensemble des traitements qu’il met en œuvre pour l’ensemble de ses activités, dont le service de coffre-fort numérique.


Démarche à décrire formellement

ED02. Les traitements du demandeur, incluant sa gestion des utilisateurs du coffre, ont fait l’objet de formalités préalables adéquates auprès de la Commission nationale de l’informatique et des libertés.





ES01. Le service de coffre-fort numérique collecte, dans le cadre de la création d’un compte, des données d’identification pertinentes et proportionnées au regard de la finalité. L’identification du détenteur du coffre ne peut, en aucun cas, être réalisée au moyen du numéro de sécurité sociale (RNIPP).


OK

ES02. En l’absence d’agrément ministériel pour l’hébergement de données de santé, le demandeur informe l’utilisateur de l’interdiction de stocker des données relatives à la santé. Il ne prévoit pas la création par défaut de dossiers relatifs à la santé.


Ok dans « Condition V0.2 »

ES03. Le demandeur informe l’utilisateur de l’interdiction de stocker des contenus illicites (exemple : incitation au meurtre, incitation à la haine raciale, pédopornographie...).


Ok dans « Condition V0.2 »

ES04. Le service de coffre-fort numérique ne permet la consultation des documents dématérialisés stockés que par l’utilisateur concerné et, le cas échéant, par les personnes spécialement mandatées par ce dernier (par exemple un notaire, pour permettre aux ayants droits d’accéder à ses données, le conjoint lorsqu’un espace partagé est créé au sein du coffre-fort numérique...).


OK

ES05. Le service de coffre-fort numérique efface les documents supprimés définitivement par l’utilisateur, ainsi que leurs métadonnées, de tous les endroits où ils sont stockés :

– sans délai pour les espaces de stockage courants et les éventuelles copies répliquées en ligne (synchronisées en temps réel ou en miroir) ;

– dans un délai maximum d’un mois pour les sauvegardes (incrémentales, complètes... réalisées à fréquence donnée).


Ok

A mettre en œuvre sur sauvegarde (où on ne gardera que les doc chiffrés)

ES06. Le demandeur garantit la pérennité du stockage, notamment en informant les utilisateurs au moins un mois avant la date de fermeture du service pour leur permettre de récupérer leurs documents stockés.


Ok dans « Condition V0.2 »

ES07. Le demandeur rend accessible, sans surcoût, un outil permettant aux utilisateurs, de récupérer l’intégralité du contenu de leur coffre-fort de façon simple, sans manipulation complexe ou répétitive, et dans un format électronique structuré et couramment utilisé, afin de faciliter le changement de fournisseur, et ce sans

collecter d’informations confidentielles (telles que les identifiants bancaires, les mots de passe de service en ligne, etc.).


Ok C’est le dossier

Ok depuis V0.31

ES08. Le demandeur informe au préalable les utilisateurs :

– de l’identité de l’opérateur du service de coffre-fort numérique et de celle du fournisseur du service ;

– de la ou des finalités poursuivies ;

– de l’absence de destinataire des données conservées incluant les documents stockés et leurs métadonnées ;

– de tout transfert de données à caractère personnel envisagé à destination d’un Etat non membre de la Communauté européenne, en indiquant si cet Etat, sur la base de sa propre législation, pourrait effectuer des demandes visant à accéder directement aux données conservées ;

– des droits d’accès, de rectification et d’opposition des personnes et les modalités d’exercice de ses droits ;

– de la possibilité de mandater des personnes (par exemple pour permettre à l’utilisateur de récupérer ses données en cas de perte de sa clef ou à ses ayants droit en cas de décès) ;

– du type d’espace mis à leur disposition et de ses conditions d’utilisation ;

– des mécanismes techniques utilisés, notamment les mécanismes de chiffrement ;

– des modalités de résiliation du service et de récupération des données stockées ;

– en cas d’offre de service associé de récupération de documents auprès de services tiers, des conséquences de l’utilisation par le demandeur des identifiants et mots de passe des utilisateurs pour se connecter en leur nom à ces services.


Ok

Ok

Ok dans « Condition V0.2 »

Ok

Ok

Ok

Ok dans « Condition V0.2 »

????

ES09. Le service de coffre-fort numérique fait l’objet d’une analyse de la conformité aux références applicables au service de coffre-fort numérique, préalablement à sa mise en place puis tous les trois ans. Elle comprend au minimum :

– un recensement des exigences (communautaires, légales, réglementaires, sectorielles, contractuelles...) ;

– un recensement des bonnes pratiques (normatives, référentiels sectoriels, règles internes...) que le demandeur s’engage à respecter ;

– une explication de la manière dont chaque référence applicable est respectée ou une justification du fait qu’elle ne l’est pas.


A décrire sous forme de process

ES10. Le service de coffre-fort numérique fait l’objet d’une étude des menaces, révisée au moins tous les trois ans. Elle comprend au minimum :

– l’ensemble des menaces auquel le service de coffre-fort numérique est exposé, c’est-à-dire tous les moyens qui rendent possibles des atteintes à la disponibilité, à l’intégrité et à la confidentialité des données stockées, du fait de l’exploitation de vulnérabilités informatiques, physiques, humaines et organisationnelles, par des sources internes et externes, humaines et non humaines, de manière accidentelle et délibérée ;

– les mesures techniques ou non techniques, mises en place ou prévues, pour traiter chacune de ces menaces, en agissant avant, pendant ou après qu’elles se concrétisent ;

– une estimation de la vraisemblance résiduelle de chacune de ces menaces.


A décrire sous forme de process

ES11. Le service de coffre-fort numérique intègre des outils permettant de bloquer des connexions faites par des robots et de retarder et/ou de bloquer les connexions illégitimes faites par des personnes.


Ok

ES12. Le service de coffre-fort numérique intègre des mesures visant à garantir l’intégrité et la disponibilité des données (centre de stockage redondant, sauvegardes régulières...). Le demandeur s’assure des garanties en termes d’indemnisation des personnes en cas d’ineffectivité de ces mesures (par exemple en souscrivant à une assurance dans le but de couvrir les dommages relatifs à ses engagements).


Redondance

Fichier chiffrés

????

ES13. Le service de coffre-fort numérique intègre des fonctions de traçabilité permettant aux utilisateurs de consulter l’activité récente sur leur coffre-fort (par exemple en journalisant et en horodatant les réussites et échecs de connexion, l’adresse IP et le protocole utilisé, ainsi que les opérations effectuées sur les répertoires et les fichiers, l’utilisateur ayant effectué une opération, l’objet sur lequel une opération est effectuée et la nature de l’opération effectuée).


Ok

ES14. Le service de coffre-fort numérique fait l’objet d’une vérification indépendante (par exemple par un auditeur externe, par un service de contrôle interne...) de l’effectivité et de l’efficacité des mesures choisies, au moins une fois tous les trois ans, et le cas échéant des mesures correctives.


A décrire sous forme de process

ES15. Le demandeur procède à une notification à l’utilisateur en cas d’accès à ses données par un tiers non mandaté par l’utilisateur, même si ces données sont chiffrées.


Comment le détecte t on ?

ES16. Le service de coffre-fort numérique intègre une fonction de chiffrement/déchiffrement des données conservées, incluant les documents stockés et leurs métadonnées. Cette fonction :

– permet de rendre les données incompréhensibles aux tiers non mandatés par l’utilisateur, y compris au demandeur ; pour ce faire, le demandeur peut par exemple spécifier et/ou fournir un logiciel à mettre en œuvre sur le poste client de l’utilisateur, en précisant les règles de sécurité que ce dernier doit appliquer, pour lui permettre de chiffrer localement des documents et les métadonnées associées, et de les envoyer ensuite sous forme chiffrée au service de coffre-fort numérique, de telle sorte que le demandeur ne soit pas techniquement en mesure de les déchiffrer ;

. .

– permet à l’utilisateur et ses mandataires de déchiffrer et de visualiser les données conservées, incluant les documents stockés et leurs métadonnées ;

– est conforme aux règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques du référentiel général de sécurité de l’Agence nationale de sécurité des systèmes d’information ;

– repose sur des clefs maîtrisées par l’utilisateur et ses mandataires ;

– permet une évolution de la taille des clefs et des algorithmes utilisés, afin de garantir dans la durée la confidentialité des données stockées.


AES 256

???

Ok

Ok AES 256

Ok

A développer

ES17. Le service de coffre-fort numérique intègre une fonction qui facilite la sauvegarde et la récupération des clefs de chiffrement/déchiffrement pour permettre à l’utilisateur de continuer à accéder à ses données en cas de perte de ses clefs :

– soit chez l’utilisateur, de manière sécurisée ;

– soit chez un tiers de confiance, non lié au demandeur et choisi par l’utilisateur ; on note dans ce cas que le tiers de confiance devrait assurer la sécurité de la sauvegarde des clefs, garder une trace de toute utilisation de la sauvegarde des clefs et informer l’utilisateur de toute utilisation de la sauvegardes des clefs.


???

ES18. Le service de coffre-fort numérique intègre une fonction de chiffrement de tous les transferts d’informations vers et depuis le coffre-fort. Cette fonction est conforme aux règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques du référentiel général de sécurité

de l’Agence nationale de sécurité des systèmes d’information.


Mise en œuvre SSL

Mais pas pour le dépôt par mail

ES19. Le service de coffre-fort numérique met en œuvre des mécanismes d’authentification pour :

– les utilisateurs ;

– les personnes physiques spécialement mandatées par ces derniers ;

– les tiers auxquels les utilisateurs ont recours pour importer des données depuis un espace de dépôt vers le coffre ;

– ainsi que les administrateurs informatiques pour la seule gestion du coffre.


Ok

Ok

????

Ok

. .

ES20. Le service de coffre-fort numérique ne permet de s’authentifier que par des mécanismes d’authentification robustes (mots de passe à usage unique, envoi de codes par SMS...). Il assure que l’utilisateur et les personnes physiques spécialement mandatées par ce dernier sont authentifiés par le serveur hébergeant les données. Tous ces mécanismes sont conformes aux règles et recommandations du référentiel général de sécurité de l’Agence nationale de sécurité des systèmes d’information. Si l’authentification comprend l’utilisation de mots de passe, ces règles font l’objet d’une information des utilisateurs (affichage du niveau de sécurité du mot de passe choisi par exemple) et d’un contrôle (système de blocage si insuffisant).

Ok

Attente SSL

Non couvert par point suivant

Ok

similaire:

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met icon1. Informations administratives1
«Informatique et libertés». IL permet d’expliquer comment chaque exigence du référentiel d’évaluation des procédures d’audit de conformité...

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met iconInformations administratives1
«Informatique et libertés». IL permet d’expliquer comment chaque exigence du référentiel d’évaluation des procédures d’audit de conformité...

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met iconLoi informatique et libertes
«informatique et libertés» du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations...

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met iconExamens et concours scolaires
«l’ensemble des activités visant à développer chez l’être humain l’ensemble de ses potentialités physiques, intellectuelles, morales,...

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met iconCommission nationale de l'informatique et des libertés
«contrôle automatisé» visant à automatiser la constatation, la gestion et la répression de certaines infractions routières

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met iconLoi Informatique et Libertés Site respectant la

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met iconPréambule
«loi Borloo» visant à mettre en place un dispositif de Gestion Prévisionnelle des Emplois et des Compétences (gpec) dans les entreprises,...

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met iconOu La Commission nationale de l'informatique et des libertés est...
«veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de...

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met iconCharte d’utilisation des donnees contenues dans le rpps
«responsable de traitement» au sens de la loi Informatique et Libertés à l’égard des données transmises

ED01. Le demandeur a mis en place une démarche visant à s’assurer de la conformité à la loi «Informatique et Libertés» de l’ensemble des traitements qu’il met iconRapport d’intégration
«la mise en place d’un processus de type managérial qui implique l’ensemble des acteurs de l’organisation afin d’assurer la qualité...





Tous droits réservés. Copyright © 2016
contacts
m.20-bal.com