SlideShare uma empresa Scribd logo

Cybersécurité & protection des données personnelles

Transferir como PPTX, PDF
M
Mohamed MDELLA

L'Intervention de Mohamed MDELLAH dans le cadre du Workshop régional co-organisé par l'UIT et AICTO portant sur l'expérience de Tunisie Telecom en matière de protection des données personnelles en rapport avec le Cloud Computing

Direito
1 de 15
Cybersécurité & Protection des Données Personnelles Mohamed MDELLAH Directeur Contentieux Tunisie Telecom Retour sur l’expérience de Tunisie Telecom
Introduction I- De l’intérêt de la protection de l’information en général et des données à caractère personnel en particulier. Les enjeux de la sécurité des données : Sécurité des données informatiques, Ciblage de la population en fonction de leurs intérêts, Identification des données nécessaires à la protection de la santé, Secret des affaires, Marketing, veille concurrentielle, Recherche et développement, Traçabilité et preuve et Protection des données personnelles… etc Une réalité: l’émergence de l’information dans sa globalité a fait de celle-ci une source de l’économie moderne. Un but: La collecte, la propriété voire même l’expropriation de l’information permet une meilleure compréhension des situations. L’importance: Avec le développement des ordinateurs L’information a acquis une «une valeur marchande» et est devenu «un bien commercial» utilisé dans « les batailles » commerciales Favorisation de la confidentialité, L'intégrité, La disponibilité des données Le besoin/intérêt: la société, en tant que structure socio-économique, a prouvé un besoin et un intérêt à la protection des données à caractère personnel. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 2
II- Pourquoi protéger les données à caractère personnel La collecte des données à caractère personnel n’est pas un phénomène nouveau mais l’évolution de l’automatisation à travers des ordinateurs à performance accrue a fait développer une activité lucrative connexe basée sur la collecte des données personnelles à l’insu même des personnes concernées Le traitement automatisé des informations en général et des données personnelles à des moyens informatiques divers a fait augmenter les risques d’accès non autorisées et aux manipulations inopinées de ces données (des buts autres que ceux énoncés). La perte de contrôle de ces données suite traitement par des ordinateurs non ou peu sécurisés rendant facile le vol de ces données La protection des données à caractère personnel est une porte à affranchir vers la sécurisation globale des informations/données. Le besoin se sent généralement sur le plan juridique (insuffisance des textes) 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 3
Les fondements juridiques de la sécurité des données à caractère personnel De l’obligation nait le Droit et le droit Le Droit de la personne à une protection optimale de ses données personnelles La nécessité et l’obligation d’imposer aux structures qui collectent des données à caractère personnel de mettre en application les principes et les règles juridiques obligatoires. Des principes fondamentaux qui sont édictés dans des textes juridiques (Constitutions, Conventions Internationales, lois, décrets..) Textes Juridiques  les lignes directrices de l’OCDE adoptés le 23/09/1980 portant harmonisation des législation nationales relatives à la protection de la vie privée et les données personnelles et les flux transfrontalières des données à caractère personnel,  les lignes directrices de l’ONU adoptées le 14/12/1990, pour la réglementation des fichiers informatisés des données à caractère personnel,  la convention européenne du 28/01/1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel  la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données,  La convention africaine sur la cybersécurité et la protection des données à caractère personnel du 27/06/2014. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 4
Sur le plan national  L'article 24 de la constitution (2014)  Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel.  Loi organique n°2012-23 du 20 décembre 2012 relative à l'instance supérieure indépendante pour les élections, article 23 faisant allusion à la législation relative à la protection des données personnelles  Loi organique n° 2013-43 du 23 octobre 2013, relative à l’instance nationale pour la prévention de la torture, Article 14 faisant allusion à la législation relative à la protection des données personnelles  Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel.  Décret n°2008-3026 du 15 septembre 20008 fixant les conditions générales d’exploitation des réseaux publics des télécommunications et des réseaux d’accès tel qu’il a été modifié et complété par le décret n°2014-53 du 10 janvier 2014 (Article 6 par. B, C et D)  Décret n°2013-4506 du 6 novembre 2013 relatif à la création de l'agence technique des télécommunications et fixant son organisation administrative, financière et les modalités de son fonctionnement (Article 2). 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 5
Des principes interdépendants  Une obligation de sécurité (d’ordre légal): les données collectées doivent être protégées par des mesures de sécurité appropriées selon le degré et le niveau de leur sensibilité, l’entreprise, exposée à des risques et menaces à la sécurité, doit en mesure de contrôler l’accès.  La responsabilité de l’organisation des données personnelles qu’elle détient sous son contrôle  Justification des finalités de la collecte (à priori ou pendant l’opération),  Le consentement libre de l’individu à propos de la collecte, le traitement de ses données et sont à le retirer en tout temps sous réserves des restrictions légales  Limitation de la collecte au strict nécessaire pour atteindre les finalités déjà exprimées et fixées. Les données ne doivent être utilisées à des fins autres que celles approuvées et ne doivent être conservées que durant les périodes nécessaire à la réalisation des fins  La qualité des données collectées exige que les données collectées doivent être justes, exactes, complète et mises à jour  La transparence: l’organisation doit assurer à l’individu la disponibilité des données et lui faciliter l’accès  L’accès libre de l’individu à ses données collectées et la possibilité de contester l’exactitude et l’intégralité des données  Le droit de se plaindre du non respect des principes et l’obligation de l’organisation de faire l’enquête nécessaire pour déterminer les responsabilités et donner suite aux plaintes. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 6
Retour sur L’expérience de Tunisie Telecom Pionnière du secteur des télécoms en Tunisie et en tant qu’opérateur global, Tunisie Telecom assure à sa clientèle une panoplie de produits, services de téléphonie, fixe et mobile ainsi que de l’internet en plus des prestations y attachés.  Procède de façon quotidienne à des opérations de collecte des Données à Caractère Personnel: – Directement à travers ses différents services compétents. – Indirectement à travers des sous-traitants (ex. les distributeurs, les FSI et les FSVA…)  A l’instar des autres entreprises, Tunisie Telecom assure la pérennité de ses biens et la protection de ses locaux à travers les moyens de vidéo-surveillance, Dans les deux cas, On se trouve devant des opérations de Traitement des données à caractère personnel soumises à des dispositions légales à respecter dont l’enjeu dépasse le simple devoir légal pour toucher la sécurité voire encore la réputation. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 7
Retour sur L’expérience de Tunisie Telecom Attentive à ces prescriptions Tunisie Telecom n’a pas tardé à se conformer aux dispositions légales imposées par loi organique du 27 Juillet 2004 portant sur la protection des données à caractère personnel et le Décret du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel.  2 obligations majeures qu’elle a accomplie auprès de l’INPDP (art.7 et 69 de la loi) et a obtenu les décisions correspondantes: NB: TT est tenue, en cas de nécessité, de saisir l’Instance pour mettre à jour son statut en tant que responsable de traitement des données à caractère personnel 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 8
Retour sur L’expérience de Tunisie Telecom  Elle a adopté récemment une charte de sécurité qui détermine les politiques spécifiques de sécurité de l’information y compris celle relative à la protection des données à caractère personnel basée sur les principes de PDCP à savoir; la finalité, la proportionnalité, la pertinence, la durée limitée de conservation des données, sécurité et confidentialité, transparence des données et au respect du droit de la personne à l’information, à l’accès, à la rectification et à l’opposition 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 9
Retour sur L’expérience de Tunisie Telecom  Personnaliser l’accès pour la délimitation des responsabilité et pouvoir garder un droit de supervision sur les opérations de collecte et de traitement des données à caractère personnel,  Centraliser au niveau de la DCAJ, le traitement des requêtes et réquisitions de l’appareil judiciaire,  Mesures d’ordre interne ayant pour but de sensibiliser les employés de TT de l’importance de la collecte et du traitement des données à caractère personnel et de devoir à leur préserver la diligence nécessaire,  Limiter l’accès aux applications dédiées, aux employés compétents sous condition d’obtenir au préalable auprès de la DCSI des log in et MP,  Prendre les mesures nécessaires à l’égard des contrevenants. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 10
Les problématiques liées au Cloud Computing Le Cloud Computing est un mode évolué de traitement des données (sur Internet ou au sein d’un Réseau Privée Virtuel) à travers la location des capacités de (stockage, logiciel, environnement…) En raison de sa structure, différents types de risques doivent être pris en considération y compris ceux d’ordre juridique:  la perte de contrôle sur les données  Non respect des dispositions légales  Usage abusif des données  La détermination des personnes du responsable de traitement et du sous-traitant  La garantie d’un niveau de protection des DP en cas de transfert des données à l’étranger  Le droit applicable En raison de l’absence d’un cadre réglementaire spécifique au Cloud Computing, il faut se référer au cadre général en la matière à savoir la loi du Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel. La nécessité d’un cadre contractuel fiable qui:  - Matérialiser les exigences de sécurité et de confidentialité  - assurer l’exercice des droits des parties  - Définir clairement les responsabilités  - Déterminer les juridictions compétentes 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 11
Les réponses juridiques aux problématiques liées au Cloud De point de vu droit des données à caractère personnel, le traitement des données personnelles découlant du Cloud Computing impose au prestataire de:  Se conformer entièrement aux dispositions légales et aux clauses contractuelles de même que le sous traitant  Superviser/contrôler le sous-traitant étant donné que les rapports prestataire/Sous traitant ne sont pas transmis à l’utilisateur de service.  Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles  Assurer la confidentialité, la disponibilité et l’intégralité des données personnelles  L’utilisateur doit avoir le droit d’accès, de rectifier et d’effacer ses données à tout moment et dans le respect total des dispositions légales en vigueur 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 12
Position de Tunisie Telecom? Des services cloud offerts depuis le 16 juin 2015 avec, une capacité d’hébergement à travers ses (3) Data Center dont un est certifié ISO/IEC 27001:2013 attestant sa conformité aux normes internationales de sécurité informatique (ce qui prouve le niveau de sécurité atténué) Une situation régularisée à l’égard de la loi régissant la protection des données à caractère personnel Une nouvelle charte adoptée en matière de la politique suivie en matière des données personnelles Des engagements formelles pour protéger la vie privée et les données personnelles. Coté cadre contractuel: des CG d’abonnement au services cloud déterminant les droits et les obligations des parties. Cela n’empêche qu’un cadre réglementaire cohérent et spécifique au Cloud Computing et un système de veille réglementaire et juridique pourrait favoriser les avantages d’un tel service. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 13
Avant de clôturer: 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 14
Merci de votre attention

Recomendados

Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 

Recomendados

Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
Architectures 3-tiers (Web)
Architectures 3-tiers (Web)Architectures 3-tiers (Web)
Architectures 3-tiers (Web)
Heithem Abbes
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
Tarek MOHAMED
 
Conception et réalisation d’un Système d’information des étudiants du départe...
Conception et réalisation d’un Système d’information des étudiants du départe...Conception et réalisation d’un Système d’information des étudiants du départe...
Conception et réalisation d’un Système d’information des étudiants du départe...
Ilyas CHAOUA
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité Informatique
Zakariyaa AIT ELMOUDEN
 
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Kyos
 
Audit
AuditAudit
Audit
zan
 
exercices business intelligence
exercices business intelligence exercices business intelligence
exercices business intelligence
Yassine Badri
 
Architectures n-tiers
Architectures n-tiersArchitectures n-tiers
Architectures n-tiers
Heithem Abbes
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Cheick Ahmed Camara
 
Cahier des Charges Infrastructure Informatique
Cahier des Charges Infrastructure InformatiqueCahier des Charges Infrastructure Informatique
Cahier des Charges Infrastructure Informatique
DATANYWARE.com
 
Presentation stage Tunisie Telecom
Presentation stage Tunisie TelecomPresentation stage Tunisie Telecom
Presentation stage Tunisie Telecom
litayem bechir
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
Amadou Dary diallo
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
Antoine Vigneron
 
Empreinte digitale
Empreinte digitaleEmpreinte digitale
Empreinte digitale
Hejer Nouira
 

Mais conteúdo relacionado

Mais procurados

La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
Tarek MOHAMED
 
Conception et réalisation d’un Système d’information des étudiants du départe...
Conception et réalisation d’un Système d’information des étudiants du départe...Conception et réalisation d’un Système d’information des étudiants du départe...
Conception et réalisation d’un Système d’information des étudiants du départe...
Ilyas CHAOUA
 
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Kyos
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
Amadou Dary diallo
 

Mais procurados (20)

La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Architectures 3-tiers (Web)
Architectures 3-tiers (Web)Architectures 3-tiers (Web)
Architectures 3-tiers (Web)
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Conception et réalisation d’un Système d’information des étudiants du départe...
Conception et réalisation d’un Système d’information des étudiants du départe...Conception et réalisation d’un Système d’information des étudiants du départe...
Conception et réalisation d’un Système d’information des étudiants du départe...
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité Informatique
 
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
 
Audit
AuditAudit
Audit
 
exercices business intelligence
exercices business intelligence exercices business intelligence
exercices business intelligence
 
Architectures n-tiers
Architectures n-tiersArchitectures n-tiers
Architectures n-tiers
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Cahier des Charges Infrastructure Informatique
Cahier des Charges Infrastructure InformatiqueCahier des Charges Infrastructure Informatique
Cahier des Charges Infrastructure Informatique
 
Presentation stage Tunisie Telecom
Presentation stage Tunisie TelecomPresentation stage Tunisie Telecom
Presentation stage Tunisie Telecom
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 

Destaque

L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
polenumerique33
 
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon GartnerVoici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
Thibaut Watrigant
 

Destaque (8)

Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
Empreinte digitale
Empreinte digitaleEmpreinte digitale
Empreinte digitale
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
Cybersecurity isaca
Cybersecurity isacaCybersecurity isaca
Cybersecurity isaca
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon GartnerVoici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
Voici les 34 technologies de 2016 à forts enjeux stratégiques selon Gartner
 

Semelhante a Cybersécurité & protection des données personnelles

Exposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à impExposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à imp
Landry Kientega
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
foxshare
 
Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...
aclorrain
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'Internet
Franck Gauttron
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
Umanis
 

Semelhante a Cybersécurité & protection des données personnelles (20)

Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Exposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à impExposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à imp
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
RGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesRGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexes
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'Internet
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donnees
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loi
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Loi sur la protection des données personnelles senegal
Loi sur la protection des données personnelles senegalLoi sur la protection des données personnelles senegal
Loi sur la protection des données personnelles senegal
 
Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018
 

Cybersécurité & protection des données personnelles

  • 1. Cybersécurité & Protection des Données Personnelles Mohamed MDELLAH Directeur Contentieux Tunisie Telecom Retour sur l’expérience de Tunisie Telecom
  • 2. Introduction I- De l’intérêt de la protection de l’information en général et des données à caractère personnel en particulier. Les enjeux de la sécurité des données : Sécurité des données informatiques, Ciblage de la population en fonction de leurs intérêts, Identification des données nécessaires à la protection de la santé, Secret des affaires, Marketing, veille concurrentielle, Recherche et développement, Traçabilité et preuve et Protection des données personnelles… etc Une réalité: l’émergence de l’information dans sa globalité a fait de celle-ci une source de l’économie moderne. Un but: La collecte, la propriété voire même l’expropriation de l’information permet une meilleure compréhension des situations. L’importance: Avec le développement des ordinateurs L’information a acquis une «une valeur marchande» et est devenu «un bien commercial» utilisé dans « les batailles » commerciales Favorisation de la confidentialité, L'intégrité, La disponibilité des données Le besoin/intérêt: la société, en tant que structure socio-économique, a prouvé un besoin et un intérêt à la protection des données à caractère personnel. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 2
  • 3. II- Pourquoi protéger les données à caractère personnel La collecte des données à caractère personnel n’est pas un phénomène nouveau mais l’évolution de l’automatisation à travers des ordinateurs à performance accrue a fait développer une activité lucrative connexe basée sur la collecte des données personnelles à l’insu même des personnes concernées Le traitement automatisé des informations en général et des données personnelles à des moyens informatiques divers a fait augmenter les risques d’accès non autorisées et aux manipulations inopinées de ces données (des buts autres que ceux énoncés). La perte de contrôle de ces données suite traitement par des ordinateurs non ou peu sécurisés rendant facile le vol de ces données La protection des données à caractère personnel est une porte à affranchir vers la sécurisation globale des informations/données. Le besoin se sent généralement sur le plan juridique (insuffisance des textes) 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 3
  • 4. Les fondements juridiques de la sécurité des données à caractère personnel De l’obligation nait le Droit et le droit Le Droit de la personne à une protection optimale de ses données personnelles La nécessité et l’obligation d’imposer aux structures qui collectent des données à caractère personnel de mettre en application les principes et les règles juridiques obligatoires. Des principes fondamentaux qui sont édictés dans des textes juridiques (Constitutions, Conventions Internationales, lois, décrets..) Textes Juridiques  les lignes directrices de l’OCDE adoptés le 23/09/1980 portant harmonisation des législation nationales relatives à la protection de la vie privée et les données personnelles et les flux transfrontalières des données à caractère personnel,  les lignes directrices de l’ONU adoptées le 14/12/1990, pour la réglementation des fichiers informatisés des données à caractère personnel,  la convention européenne du 28/01/1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel  la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données,  La convention africaine sur la cybersécurité et la protection des données à caractère personnel du 27/06/2014. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 4
  • 5. Sur le plan national  L'article 24 de la constitution (2014)  Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel.  Loi organique n°2012-23 du 20 décembre 2012 relative à l'instance supérieure indépendante pour les élections, article 23 faisant allusion à la législation relative à la protection des données personnelles  Loi organique n° 2013-43 du 23 octobre 2013, relative à l’instance nationale pour la prévention de la torture, Article 14 faisant allusion à la législation relative à la protection des données personnelles  Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel.  Décret n°2008-3026 du 15 septembre 20008 fixant les conditions générales d’exploitation des réseaux publics des télécommunications et des réseaux d’accès tel qu’il a été modifié et complété par le décret n°2014-53 du 10 janvier 2014 (Article 6 par. B, C et D)  Décret n°2013-4506 du 6 novembre 2013 relatif à la création de l'agence technique des télécommunications et fixant son organisation administrative, financière et les modalités de son fonctionnement (Article 2). 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 5
  • 6. Des principes interdépendants  Une obligation de sécurité (d’ordre légal): les données collectées doivent être protégées par des mesures de sécurité appropriées selon le degré et le niveau de leur sensibilité, l’entreprise, exposée à des risques et menaces à la sécurité, doit en mesure de contrôler l’accès.  La responsabilité de l’organisation des données personnelles qu’elle détient sous son contrôle  Justification des finalités de la collecte (à priori ou pendant l’opération),  Le consentement libre de l’individu à propos de la collecte, le traitement de ses données et sont à le retirer en tout temps sous réserves des restrictions légales  Limitation de la collecte au strict nécessaire pour atteindre les finalités déjà exprimées et fixées. Les données ne doivent être utilisées à des fins autres que celles approuvées et ne doivent être conservées que durant les périodes nécessaire à la réalisation des fins  La qualité des données collectées exige que les données collectées doivent être justes, exactes, complète et mises à jour  La transparence: l’organisation doit assurer à l’individu la disponibilité des données et lui faciliter l’accès  L’accès libre de l’individu à ses données collectées et la possibilité de contester l’exactitude et l’intégralité des données  Le droit de se plaindre du non respect des principes et l’obligation de l’organisation de faire l’enquête nécessaire pour déterminer les responsabilités et donner suite aux plaintes. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 6
  • 7. Retour sur L’expérience de Tunisie Telecom Pionnière du secteur des télécoms en Tunisie et en tant qu’opérateur global, Tunisie Telecom assure à sa clientèle une panoplie de produits, services de téléphonie, fixe et mobile ainsi que de l’internet en plus des prestations y attachés.  Procède de façon quotidienne à des opérations de collecte des Données à Caractère Personnel: – Directement à travers ses différents services compétents. – Indirectement à travers des sous-traitants (ex. les distributeurs, les FSI et les FSVA…)  A l’instar des autres entreprises, Tunisie Telecom assure la pérennité de ses biens et la protection de ses locaux à travers les moyens de vidéo-surveillance, Dans les deux cas, On se trouve devant des opérations de Traitement des données à caractère personnel soumises à des dispositions légales à respecter dont l’enjeu dépasse le simple devoir légal pour toucher la sécurité voire encore la réputation. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 7
  • 8. Retour sur L’expérience de Tunisie Telecom Attentive à ces prescriptions Tunisie Telecom n’a pas tardé à se conformer aux dispositions légales imposées par loi organique du 27 Juillet 2004 portant sur la protection des données à caractère personnel et le Décret du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel.  2 obligations majeures qu’elle a accomplie auprès de l’INPDP (art.7 et 69 de la loi) et a obtenu les décisions correspondantes: NB: TT est tenue, en cas de nécessité, de saisir l’Instance pour mettre à jour son statut en tant que responsable de traitement des données à caractère personnel 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 8
  • 9. Retour sur L’expérience de Tunisie Telecom  Elle a adopté récemment une charte de sécurité qui détermine les politiques spécifiques de sécurité de l’information y compris celle relative à la protection des données à caractère personnel basée sur les principes de PDCP à savoir; la finalité, la proportionnalité, la pertinence, la durée limitée de conservation des données, sécurité et confidentialité, transparence des données et au respect du droit de la personne à l’information, à l’accès, à la rectification et à l’opposition 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 9
  • 10. Retour sur L’expérience de Tunisie Telecom  Personnaliser l’accès pour la délimitation des responsabilité et pouvoir garder un droit de supervision sur les opérations de collecte et de traitement des données à caractère personnel,  Centraliser au niveau de la DCAJ, le traitement des requêtes et réquisitions de l’appareil judiciaire,  Mesures d’ordre interne ayant pour but de sensibiliser les employés de TT de l’importance de la collecte et du traitement des données à caractère personnel et de devoir à leur préserver la diligence nécessaire,  Limiter l’accès aux applications dédiées, aux employés compétents sous condition d’obtenir au préalable auprès de la DCSI des log in et MP,  Prendre les mesures nécessaires à l’égard des contrevenants. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 10
  • 11. Les problématiques liées au Cloud Computing Le Cloud Computing est un mode évolué de traitement des données (sur Internet ou au sein d’un Réseau Privée Virtuel) à travers la location des capacités de (stockage, logiciel, environnement…) En raison de sa structure, différents types de risques doivent être pris en considération y compris ceux d’ordre juridique:  la perte de contrôle sur les données  Non respect des dispositions légales  Usage abusif des données  La détermination des personnes du responsable de traitement et du sous-traitant  La garantie d’un niveau de protection des DP en cas de transfert des données à l’étranger  Le droit applicable En raison de l’absence d’un cadre réglementaire spécifique au Cloud Computing, il faut se référer au cadre général en la matière à savoir la loi du Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel. La nécessité d’un cadre contractuel fiable qui:  - Matérialiser les exigences de sécurité et de confidentialité  - assurer l’exercice des droits des parties  - Définir clairement les responsabilités  - Déterminer les juridictions compétentes 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 11
  • 12. Les réponses juridiques aux problématiques liées au Cloud De point de vu droit des données à caractère personnel, le traitement des données personnelles découlant du Cloud Computing impose au prestataire de:  Se conformer entièrement aux dispositions légales et aux clauses contractuelles de même que le sous traitant  Superviser/contrôler le sous-traitant étant donné que les rapports prestataire/Sous traitant ne sont pas transmis à l’utilisateur de service.  Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles  Assurer la confidentialité, la disponibilité et l’intégralité des données personnelles  L’utilisateur doit avoir le droit d’accès, de rectifier et d’effacer ses données à tout moment et dans le respect total des dispositions légales en vigueur 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 12
  • 13. Position de Tunisie Telecom? Des services cloud offerts depuis le 16 juin 2015 avec, une capacité d’hébergement à travers ses (3) Data Center dont un est certifié ISO/IEC 27001:2013 attestant sa conformité aux normes internationales de sécurité informatique (ce qui prouve le niveau de sécurité atténué) Une situation régularisée à l’égard de la loi régissant la protection des données à caractère personnel Une nouvelle charte adoptée en matière de la politique suivie en matière des données personnelles Des engagements formelles pour protéger la vie privée et les données personnelles. Coté cadre contractuel: des CG d’abonnement au services cloud déterminant les droits et les obligations des parties. Cela n’empêche qu’un cadre réglementaire cohérent et spécifique au Cloud Computing et un système de veille réglementaire et juridique pourrait favoriser les avantages d’un tel service. 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 13
  • 14. Avant de clôturer: 22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 14
  • 15. Merci de votre attention