1) Ne pas laisser l’ordinateur sans surveillance (dans le train ou la voiture, par exemple) : les photos de PC « abandonnés » le temps d’une pause café sont désormais un grand classique (vraisemblablement constitutif d’un traitement de données… A bon entendeur). Pour éviter aussi bien cet affichage que le vol ou un piratage, mieux vaut donc ne jamais le laisser sans surveillance. Si le pire arrive, …
En savoir plus
En matière de sécurité informatique, « l’interface chaise/clavier » – comprendre l’utilisateur – constitue fréquemment le point d’entrée de l’incident. Pour réduire cette source de risque, différentes mesures peuvent être prises. Certaines sont d’ordre logique. Des dispositifs de contrôle et de surveillance de l’utilisation des outils informatiques, et notamment d’Internet et de la messagerie électronique, sont ainsi fréquemment mis en place. D’autres sont organisationnelles. Faut-il encore évoquer …
En savoir plus
Destinée à actualiser la doctrine « Cloud au centre » de l’Etat, la circulaire n° 6404/SG pose 15 règles que l’Etat et les organismes placés sous sa tutelle devront respecter. Etant rattachés à l’Etat, les établissements de santé publics sont concernés. Et nul doute que c’est, au moins en partie, en considération de cela que la règle n° 9 a été élaborée. Elle commence par imposer la …
En savoir plus
⚖️ C’est en tout cas en ce sens qu’a statué la Cour Administrative d’Appel de Paris, dans un récent arrêt : CAA Paris, 11 avril 2023, n° 22PA01320. 📢 L’intérêt de la solution – en apparence assez logique – tient à la façon dont la Cour a rédigé sa décision : « Il ne résulte pas de l’instruction et il n’est pas soutenu que ces professionnels …
En savoir plus
Les établissements supports de GHT et les quelques autres établissements de santé heureux destinataires d’un arrêté les désignant en tant qu’opérateur d’importance vitale (OIV) ont trois mois pour se conformer aux règles de sécurité fixées au terme d’un arrêté du 17 avril 2023. Elles couvrent 20 secteurs traditionnels de la sécurité : Ces règles sont complétées par les modalités de déclaration à l’ANSSI des systèmes …
En savoir plus
S’il y a bien une menace informatique qui est connue du grand public, c’est le rançongiciel. Récemment, c’est un autre aspect de ce type d’incident qui a été mis en évidence. GDPRHub rapporte en effet trois sanctions, deux prononcées par l’autorité de protection des données roumaine, l’autre par celle de Norvège, à l’encontre de sociétés et d’une municipalité victimes d’un rançongiciel. Evidemment, ce sont le …
En savoir plus
Forces de l’ordre et juridictions, bien qu’on en parle peu, ne sont pas exonérées du respect du RGPD, ou de sa petite soeur, la directive Police-Justice. L’autorité de protection des données polonaise a ainsi prononcé une amende à l’encontre d’une juridiction, dont les membres avaient perdu trois clés USB, non chiffrées, contenant des projets de jugement. Le montant de l’amende prononcée semble – de l’ordre …
En savoir plus
Voici un grief fréquemment retenu, en matière de protection des données : l’absence ou l’insuffisance des tests, aussi bien quant à la conformité que pour vérifier les mesures de sécurité. Et ces contrôles doivent être reconduits périodiquement, pour éviter la sanction, comme l’ont récemment rappelé les autorités de protection des données polonaise (UODO, 2 novembre 2022, Municipality of Dobrzyniewo Duże, n° DKN.5131.8.2022) et danoise (Datatilsynet, …
En savoir plus
Sauf à vivre dans « Le Bureau des Légendes » ou dans la version BCRA annoncée début février (et encore!), sécuriser l’accès à des dossiers papier constitue un challenge peut-être plus délicat encore que pour leur pendant numérique. C’est ce qu’a rappelé la CNIL roumaine en début d’année, en sanctionnant le responsable de traitement victime du vol du dossier administratif d’un salarié, entreposé sur une étagère. Loin …
En savoir plus
Mesure de sécurité faisant partie des « exigences élémentaires », le chiffrement du disque dur d’un ordinateur portable n’en demeure pas moins insuffisant pour assurer la confidentialité des données traitées. Dans une décision du 2 novembre 2022, la CNIL polonaise a ainsi sanctionné un responsable de traitement ayant omis, alors que sa politique le prévoyait et semblait majoritairement bien appliquée, de chiffrer le disque dur d’un terminal …
En savoir plus