L'approche RSSI: Conformité

Respecter la législation

Le non-respect de la législation dans le domaine des technologies de l’information peut mettre “l’organisation” dans une situation délicate (impacts) à l’égard de ses clients (image de marque). Il peut également en résulter des conséquences financières (amendes) ou pénales (responsabilité des personnes). “L’organisation” doit donc respecter la loi, notamment en ce qui concerne:

• la propriété intellectuelle ou les droits d’auteurs
• la protection des données opérationnelles obligatoires et les données à caractère personnel. (PME: voir Exigences réglementaires et Défaut de traçabilité des opérations).

Propriété intellectuelle

“L’organisation” doit aussi veiller au respect des droits d’auteur et licences. Les sanctions pour le non-respect de ces lois peuvent mettre en danger “l’organisation” (PME: voir Licence non valide ou inexistante).  Il s’agit en particulier des droits d’auteur sur les œuvres littéraires et artistiques originales auxquelles sont assimilés les bases de données et les programmes d’ordinateur, comme défini dans la loi du 18 avril 2001.

L’équipe informatique est sensée vérifier autant les obligations pour les programmes utilisés que celles des données pour lesquelles l’organisation est propriétaire. En cas de doute, elle peut consulter la loi luxembourgeoise à l’adresse https://meco.gouvernement.lu/fr/le-ministere/domaines-activite/propriete-intellectuelle.html, ou faire appel à un juriste.

Les principes de base à ce sujet sont les suivants:

• toute reproduction, communication au public ou distribution au public doit être autorisée par l’auteur;
• ceci s’applique à la diffusion par l’Internet;
• il faut respecter les licences des logiciels;
• il faut respecter les brevets;
• il faut respecter les marques, dessins et modèles;

Protection de données opérationnelles

Selon le caractère des données traitées, “l’organisation” est tenue par le règlement général sur la protection des données (RGPD) de mettre en place des mesures appropriées pour empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement des données (voir aspects légaux).

Les données correspondant à l’activité commerciale doivent être conservées, sous une forme ou une autre, pendant dix ans à partir de la clôture de l’exercice auquel elles se rapportent.

Appliquer des mesures de sécurité pour:

• Tous les systèmes de traitement d’informations vitaux ou importants.

Mesures comportementales:

• • Bonnes pratiques concernant le courrier électronique

Mesures organisationnelles directement liées:

• Organisation de la sécurité
  • Attribution des responsabilités
• Classification et maîtrise des ressources
  • Classification et responsabilité des ressources
• Aspects opérationnels et communications
  • Procédures documentées
• Contrôle d’accès
  • Politique de contrôle d’accès
  • Gestion des droits d’accès
• Gestion des incidents liés à la sécurité
  • Signalement des événements liés à la sécurité de l’information
• Gestion de la continuité de l’entreprise
  • La continuité de fonctionnement
• Conformité
  • Protection des données à caractère personnel

Mesures techniques:

• La cryptographie
• La sauvegarde

Protection de données à caractère personnel

Toute création d’un fichier ou d’une base de données doit être faite dans le respect du règlement général sur la protection des données (RGPD). Il en est de même pour les traitements appliqués à ces données et pour les données déjà existantes. (PME: voir Traitement non autorisé de données personnelles - Surveillance des employés)

Afin de travailler dans le respect de cette loi, le responsable informatique et le responsable juridique, après avoir obtenu les textes applicables auprès de la Commission Nationale pour la Protection des Données (ci-après “La Commission”) s’assurent de l’adéquation de la structure, notamment au niveau:

• de la déclaration des données et traitements auprès de la Commission;
• de l’obtention d’une autorisation auprès de la Commission quand elle est nécessaire;
• de la qualité des données et de la légitimité des traitements;
• des droits d’information et d’opposition des personnes concernées;
• des données potentiellement discriminatoires (raciales, ethniques, politiques, religieuses, philosophiques, syndicales) ou relatives à la santé.

Appliquer des mesures de sécurité pour:

• tous les systèmes de traitement d’informations vitaux ou importants
• Voir aussi: aspects légaux

Mesures comportementales:

• Bonnes pratiques concernant le courrier électronique

Mesures organisationnelles directement liées:

• Organisation de la sécurité
  • Attribution des responsabilités
• Classification et maîtrise des ressources
  • Classification et responsabilité des ressources
• Aspects opérationnels et communications
  • Procédures documentées
• Contrôle d’accès
  • Politique de contrôle d’accès
  • Gestion des droits d’accès
• Gestion des incidents liés à la sécurité
  • Signalement des événements liés à la sécurité de l’information
• Gestion de la continuité de l’entreprise
  • La continuité de fonctionnement
• Conformité
  • Protection des données à caractère personnel

Mesures techniques:

• La cryptographie
• La sauvegarde