GIP FCIP d'Aquitaine

Préambule

Cette note technique témoigne de notre engagement envers la protection des données personnelles. En tant qu’organisme de formation, nous reconnaissons l’importance cruciale de la confidentialité, de l’intégrité, de la disponibilité et de la résilience des données dans le cadre de notre activité. Cette note vise à démontrer de manière concise comment nous respectons les critères essentiels de protection des données à travers nos politiques et procédures informatiques. Cette note complète les engagements académiques vis-à-vis du RGPD auquel le GIP est soumis.

Chapitre 1 : Gestion des accès et des privilèges

Objectif : Garantir que seules les personnes autorisées ont accès aux systèmes et aux données, et que ces personnes n’ont accès qu’aux ressources dont elles ont besoin pour effectuer leurs tâches.

Politiques et procédures

  • Politique de Mots de Passe : Pour garantir la sécurité des accès aux systèmes et aux données, notre organisation a mis en place une politique de gestion des mots de passe exigeante
  • Principe « Un Utilisateur = Un Mot de Passe » : Notre structure applique strictement le principe selon lequel chaque utilisateur possède un mot de passe unique et ne le partage avec personne d’autre.
  • Sensibilisation du Personnel : Le personnel est sensibilisé à l’importance de ne pas partager les mots de passe. Cela est inclus dans nos sessions de formation sur la sécurité des données et des systèmes.

Chapitre 2 : Sensibilisation du personnel

Objectif : Garantir que le personnel est conscient des risques de sécurité et des bonnes pratiques en matière de sécurité.

Politiques et procédures

  • Formation du personnel : Tous les employés sont tenus de suivre des sessions de formation initiale et de rappel sur la sécurité des données et des systèmes.
  • Contenu des formations :

–  Confidentialité des Données :  Les employés sont informés de l’importance de protéger la confidentialité des données personnelles des clients. Des exemples concrets montrent comment les données peuvent être exploitées ou compromises si elles ne sont pas traitées avec soin.

–  Sécurité des Systèmes et Équipements :  Les employés sont formés aux meilleures pratiques en matière de sécurité informatique, y compris la gestion des mots de passe, la détection des tentatives de phishing, l’identification des logiciels malveillants, et le signalement des incidents de sécurité.

–  Conformité Réglementaire :  La formation informe le personnel sur les réglementations en vigueur, telles que le RGPD, et explique comment notre structure se conforme à ces règles.

Chapitre 3 : Garantie de la Confidentialité, de l’Intégrité, de la Disponibilité et de la Résilience des Systèmes

Objectif : Garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des données, afin de protéger les intérêts de l’organisme et de ses clients.

Politiques et procédures

  • Contrôle d’Accès et Gestion des Autorisations :

–  Politique de Contrôle d’Accès :  Notre structure a élaboré une politique de contrôle d’accès rigoureuse pour garantir que seules les personnes autorisées ont accès aux données. Les utilisateurs ont des rôles et des autorisations spécifiques en fonction de leurs fonctions.

–  Surveillance des accès :  Les accès aux données sont surveillés en temps réel, et les tentatives d’accès non autorisées génèrent des alertes pour une action immédiate.

  • Chiffrement des Données Sensibles :

–  Chiffrement des Données en Transit :  Toutes les données sensibles en transit (par exemple, les données transférées via Internet) sont chiffrées à l’aide de protocoles sécurisés tels que HTTPS.

  • Sauvegardes Régulières :

–  Politique de Sauvegarde :  Notre structure a établi une politique de sauvegarde régulière qui garantit que les données sont sauvegardées fréquemment sur des supports sécurisés et hors site.

  • Audit des Systèmes :

–  Journalisation des Événements :  Tous les événements importants relatifs aux systèmes sont enregistrés dans des journaux d’audit.

–  Analyse de la Sécurité :  Des analyses de sécurité sont effectuées périodiquement pour détecter les vulnérabilités et les comportements anormaux.

Chapitre 4 : Utilisation de Données Vérifiées, Exactes et Complètes dans le Contexte de la Formation pour Adultes

Objectif : Garantir que les données relatives à nos clients et nos apprenants sont vérifiées, exactes, complètes et strictement nécessaires à la qualité des formations et dans respecter les exigences réglementaires.

Politiques et procédures

  • Contrôles de validation : Avant d’accepter des données de sources externes, notre organisme met en place des contrôles de validation pour s’assurer de leur exactitude et de leur exhaustivité.
  • Vérification Régulière des Données : Les données relatives à nos clients, à nos apprenants sont régulièrement vérifiées pour s’assurer de leur exactitude et de leur actualité.
  • Gestion de la Durabilité des Données : Une politique de conservation des données est mise en place pour garantir que les données restent efficaces pendant toute la durée de la formation. Les données inutilisées ou obsolètes sont périodiquement examinées et supprimées conformément aux exigences légales.
  • Information des stagiaires : Dans le cadre de notre engagement RGPD, le stagiaire est informé en début de formation qu’il bénéficie d’un droit d’accès et de rectification aux informations qui le concernent, ainsi qu’un droit d’opposition.

Chapitre 5 : Anticipation des Ruptures de Disponibilité des Données et Sécurité du Travail à Distance

Objectif : Garantir la disponibilité des données relatives aux clients, aux apprenants, même en cas d’incident ou de catastrophe, et assurer la sécurité des données sensibles en cas de travail à distance.

Politiques et procédures

  • Élaboration d’un Plan de Reprise d’Activité (PRA) : Notre Organisme de formation a élaboré un plan de reprise d’activité détaillé pour faire face aux incidents physiques ou techniques qui pourraient affecter la disponibilité des données à caractère personnel. Le PRA est testé régulièrement pour s’assurer de son efficacité. Les scénarios de test incluent des incidents tels que la perte de données, les pannes de serveur, et les attaques informatiques.
  • Sécurité du Travail à Distance : Si le travail à distance est autorisé, il est soumis à des contrôles de sécurité rigoureux. Cela inclut l’utilisation de connexions sécurisées, d’authentification multi-facteurs, et de chiffrement des données.
  • Cloisonnement des Données Sensibles : Les données personnelles sensibles sont traitées avec un cloisonnement empêchant tout croisement avec d’autres données, qu’il s’agisse de données propres à la structure, de données d’autres clients ou de données personnelles des employés.

Chapitre 6 : Surveillance de la Sécurité Informatique et Mise à Jour des Mesures de Sécurité

Objectif : Assurer une surveillance efficace de la sécurité informatique et une mise à jour régulière des mesures de sécurité, afin de détecter et de corriger rapidement les vulnérabilités et les incidents de sécurité.

Politiques et procédures

  • Réception d’Alertes d’Incident de Sécurité : Notre organisme utilise un outil de surveillance de la sécurité qui permet de recevoir des alertes d’incident en temps réel.
  • Une équipe dédiée est en place pour répondre immédiatement aux alertes de sécurité et prendre des mesures appropriées.
  • Protection des Postes informatiques et des serveurs de stockage : Tous nos postes informatiques et serveurs de stockage de données sont équipés de pare-feu et d’antivirus qui sont mis à jour régulièrement.
  • Notre antivirus est Apex-one; version de l’agent : 14.0.12512 (ayant sa propre console d’administration afin de centraliser les alertes de sécurité), mis à jour en permanence
  • Nous utilisons le pare-feu intégré à Apex-one; ajouté au pare-feu natif de Windows : Windows Defender.

Chapitre 7 : Gestion des applications et équipements

Objectif : Assurer la sécurité des données de nos clients et apprenants en mettant en place des procédures efficaces de gestion des applications et équipements utilisés pour traiter ces données.

Politiques et procédures

  • Mise à jour des applications : Les applications utilisées sont mises à jour régulièrement pour corriger les vulnérabilités et les bogues, améliorer les performances et la compatibilité.
  • Les applications obsolètes ne sont plus utilisées. Elles sont désinstallées pour ne pas contaminer les autres applications.
  • Gestion des équipements : l’ensemble des équipements utilisés pour traiter les données de notre activité sont identifiés, étiquetés et inventoriés.

*********

Notre organisation  s’engage à informer nos clients de toute vulnérabilité ou menace identifiée ( au sens de l’article 33 du RGPD )  dans les 24 heures au plus tard.

Pour conclure

En conclusion, cette note technique représente notre engagement à garantir la protection des données personnelles que nous traitons dans le cadre de notre activité de formation. Elle atteste de notre engagement à fournir un environnement sécurisé pour les données personnelles de nos clients et de nos apprenants, tout en anticipant et en préparant des plans de réponse adéquats en cas d’incident. Nous nous efforçons en permanence d’améliorer nos pratiques et de rester en conformité avec les réglementations en vigueur en matière de protection des données.