Politique et procédure de gestion des incidents de sécurité et des violations de données
Politique et procédure de gestion des incidents de sécurité et des violations de données
20 novembre 2021
My Eco Best Friend (MEBF), en tant que contrôleur de données et de processeurs de données appropriés ainsi contracté, est soumis aux dispositions du Règlement général sur la protection des données 2016/679 (RGPD) et doit faire preuve de diligence et d'attention lors de la collecte, du traitement et du stockage des données personnelles et des données personnelles sensibles fournies à la fois par le personnel, les Vendeurs, les Clients et le public pour une utilisation définie.
La sauvegarde de ces informations et la prévention de toute violation sont essentielles afin d'assurer que MEBF maintienne la confiance des personnes susmentionnées. MEBF fera donc tous les efforts raisonnables pour protéger les informations sous son contrôle contre tout accès, utilisation, divulgation, suppression, destruction, dommage ou retrait non autorisé.
Néanmoins, même avec tous les efforts déployés pour protéger les installations, les équipements, les ressources et les données, certaines crises peuvent difficilement être évitées. En effet, les violations de sécurité des données sont de plus en plus fréquentes, qu'elles soient dues à une erreur humaine ou à une intention malveillante. MEBF doit donc mettre en place un processus solide et systématique pour traiter tout incident de sécurité signalé et protéger ses actifs informationnels autant que possible.
Par conséquent, la présente politique définit une marche à suivre si les procédures de sécurité en vigueur ne permettent pas d'éviter une violation. L'objectif de la présente politique est de normaliser la réponse à l'échelle de groupe à tout incident de sécurité signalé et de veiller à ce que tout incident soit enregistré et géré de manière appropriée, conformément aux directives des meilleures pratiques.
En adoptant une approche cohérente et standardisée pour tous les incidents signalés, la présente politique vise à garantir que :
les incidents sont signalés en temps opportun et peuvent être analysés correctement
les incidents sont traités par le personnel dûment autorisé et qualifié
les incidents restent confidentiels à tous les niveaux (les parties prenantes concernées seront tenues informées à la discrétion des responsables de l'enquête)
les niveaux appropriés d'encadrement sont impliqués dans le processus de traitement de l'incident
les incidents sont enregistrés et documentés
Les conséquences des incidents sont comprises et des mesures sont prises pour empêcher tout dommage supplémentaire.
des preuves sont récoltées, enregistrées et conservées sous une forme qui résistera à un examen interne et externe
les parties extérieures et les personnes concernées sont informées en bonne et due forme.
les incidents sont traités rapidement et le fonctionnement normal est rétabli.
les incidents sont réexaminés afin d'identifier les améliorations de sécurité et de procédure à mettre en place.
Aux fins de la présente politique, le terme «violation de données » inclut la perte de contrôle, la compromission, la divulgation non autorisée ou l'accès non autorisé ou potentiel à des informations personnelles identifiables, que ce soit sous forme physique (papier) ou électronique.
Une violation de la sécurité des données peut se produire pour un certain nombre de raisons, notamment :
la perte, l'altération ou le vol de données ou d'équipements sur lesquels des données sont stockées (y compris l'effraction de l'un de nos locaux)
l'accès inapproprié ou non autorisé à des données confidentielles ou hautement confidentielles
la défaillance de l'équipement
l'erreur humaine, y compris les divulgations involontaires, le manque de diligence et/ou la mauvaise utilisation des ressources technologiques
des circonstances imprévues, telles qu'une inondation ou un incendie
un piratage informatique
l'accès aux informations en trompant l'organisation que les détient.
Aux fins de la présente politique, ces raisons seront désignées par l'expression «incidents de sécurité». Tous les incidents de sécurité ne conduisent pas à une violation des données.
La présente politique de groupe s'applique à l'ensemble du personnel de MEBF.
La présente politique est disponible sur le site www.myecobestfriend.com et sera communiquée au personnel lors de leur initiation et de leur formation périodique.
MEBF s'attend à ce que tous les entrepreneurs, fournisseurs ou autres parties agissant au nom de MEBF (collectivement, « Parties externes ») qui recueillent ou gèrent des informations personnelles suivent la présente politique, qu'ils utilisent les systèmes de MEBF et/ou leurs propres systèmes et outils de gestion des données. Les employés de MEBF ont la responsabilité de s'assurer que toutes les parties externes avec lesquelles ils travaillent pour soutenir les actions de MEBF se conforment à la présente politique.
Le personnel est chargé de s'assurer qu'une protection et des contrôles appropriés et adéquats sont en place et appliqués dans chaque installation et ressource sous son contrôle et d'identifier ceux qui ne le sont pas. Les responsables sont chargés de veiller à ce que le personnel de leur secteur suive la présente politique et adhère à toutes les procédures connexes.
Le délégué à la protection des données (DPD) est chargé de superviser la gestion de toute violation.
Gaëtan Bio
Chemin du Creux-Bechet, 6, 1096, Villette (Suisse)
T : +41 (0)79 847 91 55
contact@myecobestfriend.com
Des examens périodiques des mesures et des pratiques en place sont effectués par le département juridique.
Signaler un incident de sécurité - devoir de signalement de chaque membre du personnel
Les incidents de sécurité informatique confirmés ou suspectés doivent toujours être signalés rapidement à la Sécurité Informatique, qui est le premier point de contact, par courrier électronique suivante : contact@myecobestfriend.com
Si un membre du personnel se rend compte ou soupçonne que des données à caractère personnel ont été compromises pour toute autre raison qu'un incident de sécurité informatique (perte d’un appareil portable, mauvais adressage d’étiquettes, informations sensibles laissées à un endroit où elles pourraient être consultées sans autorisation, des photocopies mal jetées ou laissées sur une photocopieuse par exemple), il doit immédiatement informer son supérieur hiérarchique.
Dans l'intérêt de la confidentialité, un tel rapport peut être fait directement au DPD s'il existe un conflit d'intérêts potentiels ou toutes autres raisons.
Dans les deux cas, le membre du personnel qui signale l'incident de sécurité peut être invité à remplir le rapport d'incident de violation de la sécurité des données (voir l'annexe 1).
Les violations de la sécurité des données doivent être contenues et faire l'objet d'une réponse immédiate dès que l'on en a connaissance.
Le membre du personnel et/ou le service de sécurité informatique s'efforceront de contenir l'affaire et de limiter toute nouvelle exposition des données personnelles détenues en tenant compte des conseils dans « Réponse aux incidents à faire et à ne pas faire pour les systèmes informatiques » figurant dans l' Annexe 2. Selon la nature de la menace pesant sur les données personnelles, le processus peut impliquer une mise en quarantaine de certains ou de tous les PC, réseaux, etc., et demander au personnel de ne pas accéder aux PC, réseaux, etc. De même, le processus peut impliquer une mise en quarantaine des zones de stockage des dossiers manuels et d'autres zones, le cas échéant. En guise d'étape préliminaire, un audit des dossiers conservés ou du ou des serveurs de sauvegarde doit être entrepris afin de déterminer la nature des données personnelles qui pourraient avoir été exposées.
Parallèlement au confinement immédiat, il convient d'évaluer les risques qui peuvent être associés à la violation et les conséquences négatives potentielles pour les individus ainsi que pour l'association MEBF elle-même.
Lorsque les données concernées sont protégées par des mesures technologiques de nature à les rendre inintelligibles à toute personne non autorisée à y accéder, MEBF peut conclure qu'il n'y a pas de risque pour les données et qu'il n'est donc pas nécessaire d'informer le DPD. Toutefois, une telle conclusion ne serait justifiée que si les mesures technologiques (telles que le cryptage) étaient d'un niveau élevé. En outre, tout incident de sécurité qui touche plus de 100 personnes ou qui inclut des données personnelles sensibles ou de nature financière doit toujours être communiqué au DPD.
Dans le cas où aucune notification n'est faite au DPD, MEBF conserve un compte rendu sommaire de l'incident de sécurité, car tous les incidents de sécurité des données doivent être enregistrés de manière centralisée dans le système de gestion des services informatiques (système ITSM) afin de garantir une surveillance appropriée des types et de la fréquence des incidents à des fins de gestion et d'établissement de rapports.
Sauf si MEBF conclut qu'il n'y a pas de risque pour les données et qu'il n'est donc pas nécessaire d'informer le DPD, ce dernier sera informé sans délai par l'équipe de sécurité informatique (le responsable de l'information et de la sécurité (CISO), le cas échéant) afin de réunir une petite équipe de personnes pour évaluer l'exposition/la perte potentielle. Cette équipe assistera le CISO, le DPD (et le responsable, le cas échéant) pour les questions pratiques liées à la présente politique et aux procédures. Les actions doivent être entreprises conformément aux directives/conseils de l'équipe spécialisée. Chaque membre de l'équipe dispose d'un membre de réserve pour couvrir les vacances, les congés maladie, etc.
Au cours de l'enquête, l'équipe doit tenter de recueillir des informations qui seraient utiles pour déterminer si MEBF est tenu d'informer les autorités de surveillance et les personnes concernées.
Le type de données concernées ; Les éléments suivants doivent être pris en compte afin d'évaluer l'exposition/la perte potentielle :
L'équipe peut également tenir compte des conseils de l' « Aperçu de l'évaluation des risques liés à la vie privée » figurant à l'annexe 3.
Étant donné que l'élément déclencheur du délai de 72 heures pour la notification au régulateur est de nature fondamentalement juridique, les avocats et autre personnel chargé de la conformité doivent être responsables de la décision finale quant à savoir si un incident constitue une violation de données personnelles nécessitant une notification au régulateur.
La notification doit contenir (1) la nature, l'étendue et l'impact de la violation ; (2) les données personnelles éventuellement concernées ; (3) les mesures prises pour remédier à la violation ; (4) les coordonnées du DPD ou de la personne de contact désignée par le DPD pour fournir des informations supplémentaires ; et (5) toute assistance à fournir à la personne concernée.
Lorsque la loi l'exige, l'équipe, sous la direction du DPD, envisage immédiatement d'informer les personnes concernées.1. En particulier, l'équipe doit :
contacter les personnes concernées (par téléphone, courrier électronique, etc.) pour les informer qu'une divulgation, une perte, une destruction ou une altération non autorisée de leurs données personnelles a eu lieu.
Dans la mesure du possible et dès que est possible, les personnes concernées (c'est-à-dire les personnes sur lesquelles portent les données) doivent être informés de :
la nature des données qui ont été potentiellement exposées/compromises ;
le niveau de sensibilité de ces données, et
un aperçu des mesures que MEBF a l'intention de mettre en place en matière de confinement ou d'assainissement.
Les personnes doivent être informées de l'intention de MEBF de contacter d'autres autorités de contrôle.
Des conseils spécifiques et clairs devraient enfin être donnés aux particuliers sur les mesures qu'ils peuvent prendre pour se protéger et sur ce que MEBF peut faire pour les aider.
Il convient de tenir compte de la sécurité du support utilisé pour informer les personnes d'une violation et de l'urgence de la situation.
Les demandes des médias concernant la violation seront toujours traitées par le responsable de la communication.
MEBF examinera également s'il convient d'informer la police, les assureurs, les responsables du traitement des données ou, par exemple, les banques.
Il est important que tout incident de sécurité et toute violation réelle des données soient documentés et étudiés, et que la réponse à la violation soit évaluée en termes d'efficacité.
Toutes les violations de la sécurité des données seront donc consignées de manière centralisée dans le système ITSM afin d'assurer une surveillance appropriée des types et de la fréquence des incidents confirmés à des fins de gestion et d'établissement de rapports [1], sauf lorsque les autorités de surveillance ont demandé un délai à des fins d'enquête. Lorsque MEBF reçoit une telle demande de la part des autorités de surveillance, il doit prendre soigneusement note des conseils reçus (y compris la date et l'heure de la conversation ainsi que le nom et le grade de la personne à qui il a parlé). Dans la mesure du possible, MEBF doit demander que les instructions lui soient données par écrit sur du papier à en-tête des autorités de surveillance ou, si cela n'est pas possible, MEBF doit écrire à l'organisme chargé de l'application de la loi concerné que «nous prenons note des instructions qui nous ont été données par votre agent [insérer le nom de l'agent] le XX jour de XX à XX heures, selon lesquelles nous devions retarder pendant une période de XXX/jusqu'à ce que vous nous informiez que nous sommes autorisés à informer les personnes concernées par la violation des données.. »
Une révision complète devrait être entreprise. Le personnel doit être informé de tout changement apporté à la présente politique et de toute amélioration des mesures de sécurité. Le personnel doit recevoir une formation de remise à niveau si nécessaire.
La présente politique peut être révisée à la lumière des modifications de la législation, des avis juridiques et de l'apparition de nouvelles technologies pertinentes.
Envoyez ce formulaire par courriel à la Sécurité Informatique : contact@myecobestfriend.com
|
Veuillez fournir autant d'informations/détails que possible : |
|
|
Description de l'incident de sécurité/de la violation des données |
|
|
Violation confirmée ou suspectée ? |
|
|
Qui signale la violation : Nom/Département |
|
|
Date et heure de l'identification de l'incident/de l'atteinte à la sécurité et par qui. |
|
|
Y avait-il d'autres témoins ? Si oui, indiquez leurs noms. |
|
|
Cause de la violation ? - Accident ou oubli, - Erreur technique, - Vol intentionnel ou acte répréhensible, - Navigation non autorisée, - Autre (décrire), - Inconnue |
|
|
Première classification des données violées - Données publiques - Données internes - Données personnelles - Données sensibles |
|
Volume des données concernées Très peu (moins de 20) Groupe identifié et limité (>20 et <100) Grand nombre d'individus touchés (>100) Les chiffres ne sont pas connus |
|
|
Les personnes concernées par la violation sont-elles des étudiants/parrains, des membres du personnel ou les deux ? |
|
|
Connaissez-vous les personnes concernées (joindre une liste) ? |
|
|
Les données concernent-elles des groupes vulnérables ? |
|
|
À qui les données ont-elles été divulguées ou consultées, si vous le savez ? |
|
|
Types de préjudice pouvant résulter de la violation - Vol d'identité - Atteinte à l'intégrité physique - Blessure, humiliation, atteinte à la réputation - Perte d'opportunités d'affaires ou d'emploi - Manquement aux obligations contractuelles |
|
|
La violation est-elle circonscrite ou en cours ? |
|
|
Si en cours, quelles sont les mesures prises pour récupérer les données ? |
|
Des systèmes informatiques ont-ils été utilisés ? Si oui, veuillez les énumérer. |
|
|
Des protections par cryptage étaient-elles en place au moment de la violation ? |
|
|
Une violation de cette nature s'est-elle déjà produite auparavant ? |
|
|
D'autres personnes pourraient-elles donner des conseils sur les risques et les mesures à prendre ? |
|
|
Toute autre information pertinente |
Par exemple, si les coordonnées bancaires d'une personne ont été perdues, envisagez de contacter les banques elles-mêmes pour obtenir des conseils sur ce qu'elles peuvent faire pour vous aider à prévenir les utilisations frauduleuses, mais aussi, le cas échéant, la police, les assureurs, les syndicats, les responsables du traitement des données, etc. |
|
Reçu par : |
|
|
Date/heure : |
|
|
Numéro de violation : |
isoler immédiatement le système affecté pour empêcher toute nouvelle intrusion, divulgation de données, dommages, etc.
utiliser votre téléphone car l'attaquant peut être en mesure de surveiller le trafic de courrier électronique
conserver tous les registres pertinents, par exemple le pare-feu, le routeur et le système de détection des intrusions
faire des copies de sauvegarde des fichiers endommagés ou modifiés et conserver ces sauvegardes dans un endroit sûr
identifier où se trouve le système affecté dans la topologie du réseau
identifier tous les systèmes et organismes qui se connectent au système concerné
identifier les programmes et les processus qui fonctionnent sur le(s) système(s) concerné(s), l'impact de la perturbation et la durée maximale d'indisponibilité admissible
dans le cas où le système affecté est collecté comme preuve, prendre des dispositions pour assurer la continuité des services, c'est-à-dire préparer un système redondant et obtenir des sauvegardes de données.
communiquer le problème à toute autre personne que votre supérieur hiérarchique et les destinataires énumérés à la section 3.
supprimer, déplacer ou modifier des fichiers sur les systèmes concernés
contacter l'auteur présumé des faits
effectuer une analyse médico-légale
|
Facteur |
COTE DE RISQUE |
||
|
BASSE |
MOYENNE |
HAUTE |
|
|
Nature des informations personnelles |
Informations personnelles accessibles au public et non associées à d'autres informations |
Informations personnelles propres à l'organisation qui ne sont pas des informations médicales ou financières |
Informations médicales, psychologiques, de conseil ou financières ou numéro d'identification unique d'un organisme public . |
|
Relations |
Divulgation accidentelle au contractant qui a signalé la violation et confirmé la destruction ou le retour des informations |
Divulgation accidentelle à un étranger qui a signalé la violation et a confirmé la destruction ou la restitution de l'information |
Divulgation à une personne ayant une relation quelconque à la personne concernée ou à sa connaissance, en particulier les divulgations à des membres de la famille, des voisins ou des collègues de travail motivés |
|
Vol |
|||
|
Cause de la violation |
Erreur technique qui a été résolue |
Perte ou divulgation accidentelle |
Violation intentionnelle. Cause inconnue Erreur technique - si non résolu |
|
Portée |
Très peu de personnes touchées |
Groupe identifié et limité de personnes concernées |
Grand groupe ou ensemble d'un groupe non identifié (plus de 100) |
|
Efforts de quarantaine |
Les données ont été correctement cryptées
Le dispositif de stockage portable a été effacé à distance et il existe des preuves que le dispositif n'a pas été consulté avant l'effacement.
Les fichiers ou le dispositif de copie papier ont été récupérés presque immédiatement et tous les fichiers semblent intacts et/ou non lus. |
Le dispositif de stockage portable a été effacé à distance dans les heures qui ont suivi la perte, mais rien ne permet de confirmer que le dispositif n'a pas été consulté avant l'effacement.
Les fichiers ou le dispositif de copie papier ont été récupérés, mais un délai suffisant s'est écoulé entre la perte et la récupération que les données auraient pu être consultées |
Les données n'ont pas été cryptées
Les données, les fichiers ou le dispositif n'ont pas été récupérés
Données risquant de faire l'objet d'une divulgation ultérieure, notamment par les médias ou en ligne |
|
Préjudice prévisible résultant de la violation |
Aucun préjudice prévisible résultant de la violation |
Perte d'opportunités commerciales ou d'emploi, blessure, humiliation, atteinte à la réputation ou aux relations, préjudice social/relationnel Perte de confiance dans MEBF ; Perte des actifs de MEBF ; Perte des contrats ou des affaires de MEBF ; Exposition financière |
Risque de sécurité (par exemple, sécurité physique) Risque de vol d'identité ou de fraude La blessure, l'humiliation, l'atteinte à la réputation peuvent également constituer un risque élevé selon les circonstances. |
FR 
EN 
IT 
DE