Mesures techniques et organisationnelles (MTO) d’Arthrex
1. Contrôle des accès aux établissements
Le terme « contrôle des accès » désigne l’accès physique des personnes aux bâtiments et aux établissements dans lesquels les systèmes informatiques utilisés pour le traitement des données à caractère personnel sont exploités et utilisés. Il peut s’agir, par exemple, des centres de données dédiés à l’exploitation des serveurs web, des serveurs d’applications, des bases de données, des ordinateurs centraux et des systèmes de stockage, ainsi que des bureaux dans lesquels les collaborateurs utilisent des ordinateurs portables.
Mesures techniques
|
Mesures organisationnelles
|
• Des mesures techniques adéquates (p. ex. systèmes de détection des intrusions, tourniquets pour le contrôle des accès et systèmes de verrouillage) sont prises pour protéger les zones de sécurité et leurs points d’accès. |
• L’exigence de protection d’un bâtiment ou d’une salle est déterminée en fonction des systèmes de traitement des données qu’ils abritent. • Un groupe de personnes bénéficiant d’une autorisation d’accès général est défini et les autorisations d’accès aux zones pertinentes en termes de sécurité sont limitées aux cas de nécessité absolue (« principe de l’autorisation minimale »); l’accès est refusé aux personnes sans autorisation. • Une procédure a été mise en place pour demander, approuver, délivrer, gérer et accepter la restitution des moyens d’accès ou le retrait de certains droits d’accès (y compris la gestion des clés, les ID visuelles, les transpondeurs, les cartes à puce, etc.); toutes les clés sont enregistrées. • Un procédure a été mise en place pour régir l’accès des personnes extérieures à l’entreprise, par exemple, les visiteurs et les fournisseurs ; les visiteurs externes sont enregistrés. S’il existe un besoin de protection renforcée, le personnel extérieur sera accompagné et surveillé durant l’exécution de ses missions. |
2. Contrôle de l’accès au matériel
Mesures visant à interdire aux personnes non autorisées l’accès au matériel employé pour traiter les données à caractère personnel, ou son utilisation:
Mesures techniques
|
Mesures organisationnelles
|
• L’accès aux systèmes de traitement des données (qui assure le traitement des données) n’est possible qu’une fois que la personne autorisée a été identifiée et authentifiée (p. ex. à l’aide d’un nom d’utilisateur et d’un mot de passe ou d’une carte à puce / code PIN), en ayant recours à des mesures de sécurité à la pointe de la technologie. • Une authentification renforcée repose toujours sur de multiples facteurs (au moins 2), par exemple, quelque chose de détenu en propre, quelque chose de connu, ou sur un facteur à usage unique spécifique à l’utilisateur (en général, des processus biométriques) ; citons à titre d’exemple:
• carte à puce accompagnée de certificats et d’un code PIN;
• mots de passe à usage unique (générateur OTP, TAN par SMS, lecteur CAP) et mot de passe défini par l’utilisateur;
• questions de sécurité.
• Toutes les tentatives d’accès acceptées et refusées sont journalisées (ID utilisateur, ordinateur, adresse IP utilisés) et archivées dans un formulaire de conformité d‘audit pendant 1 an ; pour détecter une utilisation inappropriée, des évaluations régulières sont effectuées par échantillonnage. • Les informations d’authentification (ID utilisateur et mot de passe) ne doivent jamais être transmis sans protection sur le réseau. • L’accès sera bloqué après plusieurs tentatives d’authentification infructueuses; une procédure a été mise en place. Pour réinitialiser ou déverrouiller les ID d’accès bloqués; les ID utilisateur qui ne sont pas utilisés pendant une période prolongée • (180 jours au maximum) sont automatiquement bloqués ou désactivés.
|
• Le groupe de personnes autorisées à accéder aux systèmes informatiques doit être limité au strict minimum nécessaire à l’exécution des tâches ou des fonctions spécifiques de la personne au sein du groupe opérationnel permanent. • Les mots de passe doivent répondre à des règles minimales adéquates (p. ex. longueur minimale et complexité du mot de passe); les mots de passe doivent être modifiés à intervalle régulier; les mots de passe temporaires doivent être modifiés immédiatement; la mise en œuvre des règles de longueur, de complexité et de validité du mot de passe est assurée par des paramètres techniques |
3. Contrôle de l’accès aux données (Accès limité)
3.1. Droits d’accès limité
Mesures visant à garantir que l’accès aux systèmes et aux données est réservé au personnel autorisé agissant dans le cadre de son autorisation:
Mesures techniques
|
Mesures organisationnelles
|
• La personne autorisée à accéder aux données doit également s’identifier et s’authentifier dans le système de traitement des données en utilisant des facteurs uniques et vérifiables, tels qu’un ID et un mot de passe. • Tous les écrans des ordinateurs et des appareils sont configurés sur le mode automatique d’économiseur d’écran protégé par mot de passe. • Dans la mesure où les données de plusieurs parties sont stockées dans la même base de données ou traitées avec le même système de traitement de données, des restrictions dans le cadre du contrôle d’accès logique qui visent exclusivement à traiter les données pour le compte de la partie concernée (multi-entité) sont mises en place. • Mesures supplémentaires conformément aux sections qui précèdent. |
• Un concept d’autorisation (droits d’utilisateur et d’administrateur) permet de garantir l’activation de l’accès aux données du système uniquement dans la mesure requise pour que l’utilisateur puisse exécuter la tâche allouée conformément à la répartition des tâches de l’utilisateur et à la séparation des fonctions en interne; les règles et les procédures relatives à la création, la modification et la suppression des profils d’autorisation et des rôles d’utilisateur conformément aux règles de protection des données sont définies; les responsabilités sont réglementées. • Les droits d’accès sont limités sur plusieurs niveaux selon le principe du besoin d’en connaître conformément à une politique écrite relative aux droits d’accès. • Indépendamment des restrictions techniques, les collaborateurs sont invités à ne pas accéder aux données qui ne sont pas indispensables à l’exercice de leurs fonctions. • Les mots de passe doivent répondre à des règles minimales adéquates (p. ex. longueur minimale et complexité du mot de passe); les mots de passe doivent être modifiés à intervalle régulier; les mots de passe temporaires doivent être modifiés immédiatement; la mise en œuvre des règles de longueur, de complexité et de validité du mot de passe est assurée par des paramètres techniques. • Les données et les fichiers sont régulièrement détruits ou supprimés, conformément à la politique de conservation et de suppression des données, de sorte que toute reconstruction soit impossible ou impossible sans le déploiement d’efforts considérables; la destruction et la suppression sont encadrées par un protocole; ces protocoles ne contiennent pas de données à caractère personnel mais uniquement des références à des fiches ou des fichiers • Mesures supplémentaires conformément aux sections qui précèdent. |
3.2. Contrôle des supports de données
Mesures visant à prévenir l’accès non autorisé aux supports de données:
Mesures techniques
|
Mesures organisationnelles
|
• Les données sont chiffrées ou protégées par un mot de passe pendant le transport; les données sensibles sont également chiffrées ou protégées par un mot de passe pendant l’utilisation. • Mesures supplémentaires conformément aux sections qui précèdent. |
• Tous les supports de données font l’objet d’enregistrements. • Les supports de données sont stockés dans des armoires fermées à clé en dehors des heures de bureau. • Les supports de données sont transportés en toute sécurité. • Les supports de données et les documents sont éliminés conformément à la norme DIN 66399, soit en interne, soit par le biais d’un prestataire de services certifié. • Mesures supplémentaires conformément aux sections qui précèdent. |
3.3. Contrôle des modifications
Mesures visant à prévenir l’accès non autorisé aux données ou à leur traitement:
Mesures techniques
|
Mesures organisationnelles
|
• L’accès aux données est journalisé; les exemples de fichiers journaux sont examinés régulièrement. • Mesures supplémentaires conformément aux sections qui précèdent. |
Les informations suivantes sont enregistrées: • Modifications des mots de passe/ droits d’accès/ rôles.
• Accès en écriture comportant les détails suivants: utilisateur, données, fichier et logiciel.
• Pour les données sensibles, également l’accès en lecture.
• Mise en place d’une politique écrite portant sur le champ d’application et la nature de la journalisation, ainsi que la conservation et l’examen des journaux.
• Mesures supplémentaires conformément aux sections qui précèdent.
|
3.4. Contrôle de l’exportation
Mesures visant à prévenir l’exportation non autorisée des données en dehors des systèmes informatiques:
Mesures techniques
|
Mesures organisationnelles
|
• Le réseau interne est sécurisé par la mise en place de passerelles de sécurité aux points de transfert du réseau (p. ex. pare-feu, protection antivirus et système de détection des intrusions [IDS]). • Les données sont transmises uniquement par e-mail ou chiffrées (VPN, SSL). • Les e-mails sont protocolisés selon des modalités sécurisées. • Mesures supplémentaires conformément aux sections qui précèdent. |
• L’utilisation du cloud ou d’autres services de traitement suppose la conclusion d’un accord de traitement et la réalisation d’un audit du sous-traitant. • Mesures supplémentaires conformément aux sections qui précèdent. |
4. Contrôle de la transmission et du transport
Mesures visant à garantir que les données à caractère personnel ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le transfert ou le transport électronique, ou pendant leur enregistrement sur un support de stockage de données. De même, mesures visant à rendre possible le contrôle et la vérification des organismes qui transféreront les données à caractère personnel en utilisant les installations de transmission des données.
4.1. Contrôle de la transmission
Mesures visant à garantir l’enregistrement des destinataires de toutes les exportations de données:
Mesures techniques
|
Mesures organisationnelles
|
• Mesures conformément aux sections qui précèdent. |
• Tous les droits d’accès et les transmissions sont documentés dans les enregistrements des activités de traitement. • Mesures supplémentaires conformément aux sections qui précèdent. |
4.2. Contrôle du transport
Mesures visant à garantir la protection des données pendant la transmission et le transport:
Mesures techniques
|
Mesures organisationnelles
|
• Si les données à caractère personnel sont transmises à des systèmes externes, le chiffrement est une condition sine qua non. • Mesures conformément aux sections qui précèdent. |
• Mesures conformément aux sections qui précèdent. |
5. Prrotocoles de traitement
Mesures visant à garantir que les enregistrements ou les modifications des données à caractère personnel sont encadrés par un protocole:
Mesures techniques
|
Mesures organisationnelles
|
• Mesures conformément aux sections qui précèdent. |
• Mesures conformément aux sections qui précèdent. |
6. Contrôle de la conformité du sous-traitant
Mesures visant à garantir que les sous-traitants actuels ou ultérieurs traitent les données uniquement dans le respect des instructions du responsable du traitemen des donnéest:
Mesures techniques
|
Mesures organisationnelles
|
• Séparation physique ou logique des données. • Mesures supplémentaires conformément aux sections qui précèdent. |
• Formation des collaborateurs, ces derniers doivent signer des engagements officiels. • Documentation écrite des instructions. • Selection of (sub-) processors and drafting of (sub-) contracts with due diligence; initial and regular auditing of technical and organizational measures • Sélection des sous-traitants (ultérieurs) et élaboration des contrats de sous-traitance (ultérieure) après les vérifications nécessaires; audit initial et régulier des mesures techniques et organisationnelles. • Mesures supplémentaires conformément aux sections qui précèdent. |
7. Maîtrise des dommages
7.1. Contrôle de la disponibilité
Mesures visant à garantir la sécurisation des données contre la destruction ou la perte:
Mesures techniques
|
Mesures organisationnelles
|
• Toutes les salles de serveurs sont dotées de systèmes de climatisation, de détecteurs de fumée et d’extincteurs; la température et l’humidité font l’objet de contrôles réguliers. • Tous les serveurs sont équipés d’une alimentation sans interruption (UPS) et sont protégés contre les surcharges électriques; tous les serveurs sont configurés pour s’éteindre automatiquement dans l’éventualité d’une coupure de courant prolongée. • Mesures supplémentaires conformément aux sections qui précèdent. |
• La protection pour la sauvegarde et la reprise des activités, les utilisateurs, les fichiers journaux et le contrôle antivirus des serveurs sont examinés au quotidien. • Les éléments suivants font l’objet d’un examen régulier:
alimentation sans interruption (UPS), serrures des salles de serveurs.
• Mise en place d’un plan de reprise après sinistre et de continuité d’activité pour la poursuite des activités dans l’éventualité d’un événement indésirable prévisible (électricité, incendie, dégât des eaux, etc.). • Mesures supplémentaires conformément aux sections qui précèdent.
|
7.2. Restauration du système
Mesures visant à garantir la restauration rapide des systèmes à la suite d’un événement indésirable:
Mesures techniques
|
Mesures organisationnelles
|
• Toutes les données font l’objet de sauvegardes régulières. • Les sauvegardes importantes sont stockées en dehors du site. • Mesures supplémentaires conformément aux sections qui précèdent. |
• Mise en place d’une politique de sauvegarde écrite qui précise le champ d’application, les intervalles et les méthodes de sauvegarde, le nombre de générations, les supports, le transport et le stockage des données ainsi que les responsabilités en interne à l’égard des procédures de sauvegarde. • Les sauvegardes font l’objet d’examens réguliers. • Mesures supplémentaires conformément aux sections qui précèdent. |
7.3. Fiabilité
Mesures visant à garantir le parfait fonctionnement de l’ensemble des systèmes et la détection des erreurs:
Mesures techniques
|
Mesures organisationnelles
|
• Les systèmes réalisent des contrôles automatiques de plausibilité et d’intégrité (p. ex. procédures de somme de contrôle) afin de détecter les erreurs. • Les systèmes protocolisent les erreurs et les surcharges des applications (p. ex. problèmes de stockage ou processus interrompus). • Mesures supplémentaires conformément aux sections qui précèdent. |
• Tous les logiciels sont contrôlés et approuvés par le service informatique avant leur installation. • Mise en place d’une procédure d’examen manuel régulier des systèmes, attributs de données et informations de traitement, ainsi que d’autres configurations matérielles afin de détecter les erreurs. • Mise en place d’une politique qui impose que toutes les erreurs des systèmes informatiques ou de communication soient consignées et documentées (à l’exception des erreurs détectées et corrigées automatiquement par les systèmes). • Mise en place d’une politique stipulant que les erreurs ne peuvent être corrigées que par le personnel du service informatique et que les modifications d’ampleur doivent être testées dans un bac à sable (sandbox) avant leur mise en œuvre. • Mesures supplémentaires conformément aux sections qui précèdent. |
7.4. Intégrité des données
Mesures visant à garantir que les données ne sont pas corrompues par des dysfonctionnements du système:
Mesures techniques
|
Mesures organisationnelles
|
• Les contrôles sur l’intégrité des données sont inclus et activés par défaut par le biais d’une stratégie de sauvegarde et d’une trousse à outils. • Réalisation de tests d’intrusion et d’audits de sécurité. • Mesures conformément aux sections qui précèdent. |
• Les politiques et les procédures de sécurité sont en place. • Formation destinée aux collaborateurs portant sur les règles de saisie et de tenue à jour des données. • Mesures conformément aux sections qui précèdent. |
8. Contrôle de la séparation
Mesures visant à garantir que les données collectées à des fins diverses sont clairement séparées:
Mesures techniques
|
Mesures organisationnelles
|
• Séparation physique ou logique des données. • Les fichiers d’entreprise sont séparés en fonction de l’emplacement de stockage dédié, aussi bien dans les locaux que dans le cloud. • Les emplacements de stockage ne sont visibles et/ou accessibles que pour les personnes bénéficiant d’une autorisation d’accès aux données respectives. • Mesures supplémentaires conformément aux sections qui précèdent. |
• Les politiques et les procédures de sécurité sont en place. • Mesures supplémentaires conformément aux sections qui précèdent. |
9. Organisation générale
- Un délégué à la protection des données a été nommé conformément à la loi. Une ou plusieurs personnes de la direction ou directement subordonnées à la direction sont chargées de la mise en conformité de la protection des données et de la sécurité des données. Une ou plusieurs personnes du service informatique sont chargées de la mise en œuvre de toutes les mesures techniques et organisationnelles, y compris la tenue à jour régulière des politiques respectives. Mise en place de règles claires sur les responsabilités respectives au sein du service informatique.
- Mise en place d’une évaluation écrite et documentée des risques et définition de mesures adéquates relatives à la protection des données (dont la protection de la vie privée dès la conception) et la sécurité des données pour l’ensemble des systèmes et des processus.
- Outre les exigences qui précèdent, des politiques et règlements écrits sont en place visant à garantir que toutes les activités de traitement respectent les principes de licéité, d’équité et de transparence, de limitation des finalités, de miniaturisation des données, de précision, de limitation du stockage et d’intégrité et de confidentialité du traitement. Le sous-traitant respecte toutes les exigences réglementaires en matière de responsabilisation et/ou de documentation.
- Tous les collaborateurs ont été instruits et formés sur les exigences de base en matière de protection des données et de sécurité des données, et ont pris l’engagement de les respecter.
- Mise en place de procédures écrites documentées visant à garantir que (a) les sujets concernés peuvent exercer leurs droits réglementaires à l’égard de leurs données; et (b) que les incidents ou violations sont déclarés dans les plus brefs délais.
- Le service informatique, en collaboration avec le dégué à la protection des données, effectue régulièrement (au moins une fois par an) une analyse exhaustive des risques et de la sécurité de toutes les mesures techniques et organisationnelles, et transmet un rapport écrit à la direction. La direction peut ordonner des audits supplémentaires au besoin. En cas de détection d’une non-conformité, les mesures visant à la résoudre sont également documentées.