Les méthodologies de sécurité, outil de limitation des risques juridiques

See on Sécurité de l’info et du SI d’après l’article de THIÉBAUT DEVERGRANNE du 08/11/2013

S‘assurer de respecter l’ensemble des obligations légales liées à la mise en oeuvre d’un traitement de données personnelles n’est jamais simple, en particulier dès lors que l’on touche aux aspects de sécurité informatique.

Ankaa Engineering‘s insight:
Rappel important pour les DSI : D’un point de vue juridique, l’article 34 de la loi informatique et libertés impose au responsable du traitement : « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Le fait de se passer de cette étape est sanctionné pénalement, à hauteur de 5 ans d’emprisonnement et 300.000 euros d’amende (article 226-17 du Code pénal).
Il est fort probable qu’à la lecture des peines encourues mentionnées ci-dessus, certains DSI enclenchent des procédures de contrôle de conformité des processus internes…
Quid des responsabilités dans une architecture « cloudisée » ?
Le DSI devra probablement démontrer qu’il s’est assuré du respect de l’intégrité et de la sécurité d’accès aux données auprès de son fournisseur de service. Voir le démontrer en présentant l’article du contrat de service qui précise les engagements et la responsabilité du fournisseur sur ces points.