27 décembre 2018 -

Lettre cauchemar RGPD

Le blog du Groupe HISI

Pourquoi maîtriser les données de vos clients est crucial ?

Tout le monde connait le mot RGPD, ce règlement est en vigueur depuis aujourd’hui. Mais il est assez difficile d’en appliquer toutes ses règles, et d’entièrement s’y conformer.

Les plus sceptiques iront jusque questionner son importance, son utilité et ses risques. Un peu plus bas dans l’article nous vous exposons une lettre type que l’on peut qualifier de « cauchemardesque » pour les entreprises et à laquelle il faudra se préparer à répondre.

Bonne lecture.

LA LETTRE DU CAUCHEMAR RGPD

« Cher monsieur/madame :

Je m’adresse à vous en votre qualité de responsable de la protection des données pour votre entreprise. En tant que client, et à la lumière des récents événements, je sollicite l’accès à mes données personnelles conformément à l’article 15 du Règlement Général sur la Protection des Données. Je m’inquiète du fait que les pratiques de votre entreprise en matière de sécurité fassent courir à mes informations personnelles un risque injustifié, voire qu’elles soient en infraction avec vos obligations.

Vous trouverez ci-joint les documents de nature à prouver mon identité. Pour toute information complémentaire, vous pouvez me contacter à l’adresse ci-dessus.

Conformément à l’article 12, j’attends de votre part une réponse à ma demande dans un délai d’un mois, faute de quoi je transmettrai celle-ci à la CNIL.

Mes demandes sont les suivantes :

1. Veuillez m’indiquer si vous traitez des données personnelles me concernant. Dans l’affirmative, veuillez me préciser quelles catégories de données personnelles me concernant contiennent vos fichiers et/ou bases de données.

a. En premier lieu, précisez-moi les informations me concernant qui sont en votre possession, qu’elles soient contenues dans des bases de données, des courriels, des documents présents sur vos réseaux, des supports vocaux ou tout autre média que vous conservez.

b. En second lieu, indiquez dans quels pays mes données personnelles sont conservées et/ou accessibles. Si vous utilisez des services cloud pour stocker ou traiter mes données, veuillez indiquer la liste des pays dans lesquels celles-ci ont été conservées et/ou traitées durant les 12 derniers mois.

c. Veuillez également me fournir copie – ou à défaut accès à – la totalité de mes données personnelles en votre possession ou que vous traitez.

2. Veuillez me fournir une description détaillée de l’utilisation précise que vous avez fait, faites ou ferez de mes données personnelles.

3. Veuillez me fournir une liste de toutes les parties tierces avec lesquelles vous avez ou auriez pu partager mes données personnelles.

a. Si vous ne pouvez identifier avec certitude les parties tierces auxquelles vous avez divulgué mes données personnelles, veuillez me fournir une liste de celles auprès desquelles cette divulgation a pu avoir lieu.

b. Veuillez identifier les juridictions dont relèvent les tierces parties que vous avez identifié dans votre réponse 1b et avec lesquelles vous avez ou auriez pu partager mes données personnelles et qui, à ce titre, les ont stockées ou ont pu en prendre connaissance. Veuillez également préciser sur quelles bases juridiques vous avez estimé légal un tel transfert. Lorsque ces transferts ont été ou sont assortis de clauses restrictives appropriées, veuillez m’en fournir copie.

c. Je souhaite par ailleurs prendre connaissance des mesures de sécurité mises en place conjointement avec chacune des tierces parties identifiées dans les précédentes réponses et relativement au transfert de mes données personnelles.

4. Veuillez préciser la durée durant laquelle sont conservées mes données personnelles. Si cette durée varie en fonction de la catégorisation que vous pourriez en faire, veuillez préciser la durée pour chacune des catégories que vous utilisez.

5. Si par ailleurs vous collectez des données personnelles me concernant par le biais de tierces parties autres que moi-même, veuillez me fournir pour chacune d’elle et conformément à l’article 14 de la GDPR l’ensemble des informations concernant les sources de ces tierces parties.

6. Si vous prenez des décisions me concernant sur la base d’automatismes, y compris en ce qui concerne le profilage, qu’elles soient ou non visées par l’article 22 du RGPD, veuillez m’indiquer les principales caractéristiques de la logique décisionnelle ainsi que la portée et les conséquences en ce qui me concerne de ces traitements.

7Je souhaite savoir si mes données personnelles ont été involontairement divulguées par votre société dans le passé, ou si elles ont été exposées à la suite d’un incident de sécurité ou de confidentialité.

a. Dans l’affirmative et pour chacun des incidents et des divulgations involontaires, veuillez me fournir les détails suivants :

iUne description générale de l’événement ;

iiLa date et l’heure de l’incident ou à défaut votre meilleure estimation de ces éléments ;

iiiLa date et l’heure de la découverte de l’incident ;

ivLa source de l’incident, qu’il s’agisse de votre propre organisation ou d’une tierce partie à laquelle vous aviez transféré mes données personnelles ;

vLes détails de celles de mes données personnelles qui ont été divulguées ;

viL’analyse effectuée par votre société des préjudices que j’encoure au terme de cet incident ;

viiUne description des mesures qui ont été prises ou que vous vous apprêtez à prendre pour empêcher que ne se reproduise un accès non autorisé à mes données personnelles ;

viiiUn contact au sein de votre société auprès duquel je pourrai obtenir des informations complémentaires et une assistance en relation avec l’incident,

ixToutes informations et suggestions de votre part pour m’aider à me protéger des risques que j’encoure à la suite de cet incident, et notamment de fraude ou de vol d’identité.

b. Si vous n’êtes pas en mesure d’affirmer avec certitude, au moyen de technologies et de processus appropriés, qu’un tel incident n’a pas eu lieu, veuillez indiquer quelles mesures vous mettez en place pour atténuer les effets d’un incident de cette nature dans l’hypothèse où il adviendrait :

iChiffrage de mes données personnelles ;

ii. Stratégie de réduction au minimum des données collectées ; ou,

iiiAnonymisation ou pseudonimisation de mes données personnelles ;

iv. Tout autre moyen que vous avez estimé utile

8Je souhaite prendre connaissance des standards et politiques que vous appliquez pour la sécurité de mes données personnelles et notamment dans quelles mesures vous respectez la norme ISO27001 pour la sécurité des informations. Plus particulièrement, je souhaite prendre connaissance de vos pratiques dans les domaines suivants :

aVeuillez m’indiquer si mes données personnelles sont sauvegardées sur bandes, disques ou tout autre support, la manière dont ces derniers sont conservés et sécurisésainsi que les mesures que vous prenez pour prévenir la perte ou le vol de mes données personnelles et notamment si vous utilisez des techniques de chiffrage pour ce faire.

bVeuillez m’indiquer quelles technologies vous utilisez afin d’être raisonnablement certain de savoir si mes données personnelles sont divulguées, et notamment – sans que cette liste soit exhaustive :

iSystème de détection d’intrusion ;

iiTechnologies pare-feu ;

iiiTechnologies de contrôle d’accès et de gestion des identités ;

ivOutils de protection et/ou d’audit de vos bases de données; ou,

vOutils d’analyse comportementaleoutils d’analyse de journaux d’événements, tout autres outils d’audit ;

9. En ce qui concerne vos employés et prestataires, veuillez me préciser les points suivants :

aQuelles technologies ou procédures métiers utilisez-vous afin de surveiller et vérifier que les collaborateurs de votre entreprise ne divulguent pas délibérément ou par inadvertance des données personnelles en dehors de votre entreprise, que ce soit par courriel, messagerie instantanée ou par tout autre moyen ?

b. Certains de vos employés ou prestataires ont-ils fait l’objet d’une mesure disciplinaire ou de poursuite pour avoir accédé de manière inappropriée à mes données personnelles ? Si vous êtes dans l’incapacité de le déterminer pour ce qui me concerne en particulier, de telles mesures ont-elles été prises durant les douze derniers mois pour un accès inapproprié aux données personnelles de l’un quelconque de vos clients ?

cVeuillez indiquer les mesures de formation et de sensibilisation que vous avez prises afin de garantir que vos employés et contractants accèdent et traitent mes données personnelles conformément au Règlement Général sur la Protection des Données.

Cordialement »

Effrayant n’est-ce pas ? Et pourtant il faut s’y préparer.

Cette lettre est une traduction de la lettre rédigée par Constantine Karbaliotis, voici la source originale : ICI

Voir d'autres articles