Bonne Practiques - Mesures de sécurité pour PME - Le côté légal
Des dispositions légales et réglementaires particulières sont à respecter par les organisations. Ces dispositions touchent notamment au respect de la vie privée, aux droits d’auteur, et aux dispositions réglementaires spécifiques du secteur d’activité. (Voir aussi aspects légaux)
Traitement non autorisé de données personnelles - Surveillance des employés
La loi luxembourgeoise du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel a pour objet de :« protéger les libertés et les droits fondamentaux des personnes physiques […] à l’égard du traitement des données à caractère personnel. ».
Elle institue également la commission nationale à la protection des données (CNPD – https://www.cnpd.lu) « chargée de contrôler […] si les données soumises à un traitement […] sont en conformité avec […] la présente loi. » Par sa nature légale toutes les organisations luxembourgeoises y sont soumises et doivent la respecter.
Par exemple, le traitement de données personnelles doit dans certains cas faire l’objet d’une autorisation préalable de la CNPD.
Veillez donc à :
- recenser les traitements de données personnelles
- notifier la CNPD des traitements de données personnelles
- sécuriser les traitements (Art. 22 de la loi sus-nommée)
- arrêter les traitements non autorisés ou demander une autorisation demandée. (Rédigez et faites respecter une politique sectorielle liée à la Conformité - Protection de données à caractère personnel)
Licence non valide ou inexistante
La loi du 18 avril 2004 sur les droits d’auteur, les droits voisins, les bases de données et les brevets d’invention inclut les « programmes d’ordinateur » et les « bases de données » dans son cadre. Pour pouvoir être utilisé légalement, un contrat de licence d’utilisateur final doit être fourni avec le logiciel. Cette licence d’utilisation doit être valide pour la période d’utilisation. Différents types de licence existent : par poste, globale, location, libre…
Il faut donc :
- effectuer une revue des licences logicielles de l’organisation
- faire une évaluation des besoins logiciels de l’organisation
- faire un inventaire de tous les logiciels présents (avec leurs versions)
- acquérir de nouvelles licences ou désinstaller des logiciels sans licence ou inappropriés
- implémenter une politique de restriction des logiciels sur les postes utilisateurs
- sauvegarder de manière sécurisée les médias contenant les logiciels (ex : dans une armoire fermée)
- l’installation de nouveaux logiciels sur une machine doit être réalisée par les administrateurs. (Rédigez et faites respecter une politique sectorielle liée à la Conformité - Propriété intellectuelle)
Défaut de traçabilité des opérations
Une organisation peut être confrontée, vis-à-vis de ses partenaires ou de la justice, de confirmer ou d’infirmer ses actions. Cela concerne notamment les communications par e-mail et celles dégageant une valeur commerciale ou juridique (transactions e-business, ordres financiers…).
Il faut donc :
- sauvegarder les e-mails contenant des décisions formelles
- d’établir une liste des activités et des services de l’organisation participant à la gouvernance de l’entreprise et/ou à son activité commerciale
- établir une procédure de sauvegarde de ces transactions tel que l’enregistrement dans une base de donnée (en accord toutefois avec la législation sur les données personnelles et la réglementation)
Exigences réglementaires
Selon sa nature, une organisation peut être soumise à une réglementation spécifique lui imposant des mesures de sécurité particulières. Exemple de réglementations :
- Sarbanes-Oaxley
- HIPAA
- Basel II
- Schengen
Il faut donc
- connaître et respecter ces réglementations et de mettre en conformité l’organisation
Rédigez et faites respecter une Politique sectorielle sur la Conformité - Identification de la législation applicable et Propriété intellectuelle et Protection des données opérationnelles et Protection des données à caractère personnel..