mai 2018

Flash Info – Décret sur la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels

2018-05-30T09:57:53+00:0030 mai 2018|Actualités|

Est paru le décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique, suite à la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union Européenne dans le domaine de la sécurité.

Ce décret fixe la liste des services essentiels et les modalités de désignation des opérateurs de services essentiels.

Dans le secteur de la santé, pour les établissements de soins de santé, sont visés les prestataires de soins de santé dans le cadre des services concourant aux activités de prévention, de diagnostic ou de soins mais aussi les prestataires fournissant un service d’aide médicale à l’urgence. Ainsi, la réception et la régulation d’appels ainsi que le service mobile d’urgence et réanimation sont qualifiés de services essentiels.
Est également visée, pour les produits pharmaceutiques, la distribution pharmaceutique réalisée par les grossistes-répartiteurs.

​Sont désignés, comme opérateurs de services essentiels, les opérateurs fournissant au moins un service mentionné dans la liste sus mentionnée, lorsque des réseaux et systèmes d’information sont nécessaires à la fourniture dudit service ​et qu’un incident affectant ces réseaux et systèmes aurait des conséquences graves.

​Les​ critères d’appréciation de ces conséquences graves sont :
– le nombre d’utilisateurs dépendant du service;
– la dépendance des autres secteurs d’activités figurant dans la liste des services essentiels;
– les conséquences qu’un incident pourrait avoir sur le fonctionnement de l’économie ou de la société ou sur la sécurité publique, en terme de gravité ou de durée;
– la part de marché de l’opérateur;
– la portée géographique eu égard à la zone susceptible d’être concernée par l’incident ;
– l’importance que revêt l’opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service;
– le cas échéant, des facteurs sectoriels.

​Cette désignation est faite par arrêté du Premier Ministre. ​Chaque opérateur concerné reçoit une notification du Premier Ministre de son intention de le désigner comme opérateur de services essentiels. L’opérateur dispose d’un mois pour présenter ses observations. Les arrêtés sont notifiés aux opérateurs intéressés.

​Cela implique, pour les opérateurs, d’établir et tenir à jour la liste des réseaux et systèmes d’information, y compris ceux dont l’exploitation est confiée à un tiers,  et nécessaire à la fourniture des services essentiels, et la communiquer à l’Agence nationale de la sécurité des systèmes d’information. Un arrêté détermine les règles de sécurité à respecter.

Les opérateurs devront déclarer les incidents de sécurité à l’Agence nationale de la sécurité des systèmes d’information dès lors que ces incidents ont ou sont susceptibles d’avoir un impact significatif sur la continuité de ces services, et ce, sans préjudice des autres régimes de déclarations d’incidents auxquels les opérateurs seraient soumis. Les modalités de déclaration des incidents sont définis par un arrêté du Premier Ministre. A défaut de déclaration, les dirigeants des opérateurs encourent une amende de 75 000 €.

​Les opérateurs peuvent être soumis à des contrôles pour vérifier le respect des obligations et le niveau de sécurité des réseaux et systèmes d’information nécessaires à la fourniture de services essentiels. ​Prise par le Premier Ministre, la décision de contrôle est notifiée à l’opérateur, en précisant les objectifs et le périmètre du contrôle ainsi que le délai dans lequel le contrôle est réalisé.

Une amende de 100 000 € sanctionne les dirigeants des opérateurs qui ne se conformeraient pas aux règles de sécurité à l’issue du délai fixé par la mise en demeure adressée à l’occasion d’un contrôle.

​Le fait de faire obstacle à un contrôle est puni de 125 000 € d’amende. ​

Télécharger le PDF

août 2017

Flash Info – CNIL – Rectification de l’autorisation unique relative aux dispositifs d’alerte professionnelle

2017-08-28T08:55:41+00:0028 août 2017|Actualités|

La délibération n°2017-191 du 22 juin 2017 (AU-004) a fait l’objet d’une rectification publiée au Journal Officiel du 26 août 2017. Voici les principales modifications de cette rectification.

Cette version de la délibération clarifie l’utilisation du dispositif par l’employé de l’organisme qui n’est qu’une faculté, ce dispositif étant lui-même qu’une voie complémentaire de signalement.

Il est précisé que sont anonymisées en cas d’archivage les données relatives à une alerte, n’entrant pas dans le champ du dispositif et celles n’ayant pas donné lieu à poursuite.

L’utilisation abusive expose l’auteur à d’éventuelles sanctions ou poursuites sans plus de précisions sur la nature des sanctions ou poursuites eu égard à la rédaction précédente (« sanctions disciplinaires ainsi qu’à des poursuites judiciaires»). Cette nouvelle rédaction est plus adaptée. Pour mémoire, ce dispositif est accessible aux collaborateurs extérieurs ou occasionnels de l’organisme.

Cette délibération ne fait pas que modifier la délibération n°2005-305 du 8 décembre 2005. Elle l’abroge et la remplace.

Télécharger le PDF

juillet 2017

Flash Info – CNIL – Modification de l’autorisation unique relative aux dispositifs d’alerte professionnelle

2017-07-25T09:48:27+00:0025 juillet 2017|Actualités|

Le 25 juillet 2017, est parue au Journal Officiel la délibération n°2017-191 du 22 juin 2017 de la Commission nationale de l’informatique et des libertés (CNIL) modifiant l’autorisation unique de traitements automatisés de données personnelles dans le cadre de dispositifs d’alerte professionnelle.

Cette délibération vient modifier l’autorisation unique (AU-004) en rendant compatible avec la loi du 9 décembre 2016 (Loi Sapin II). Les organismes, respectant l’ensemble des dispositions de l’autorisation unique, n’auront qu’une déclaration d’engagement de conformité à adresser à la CNIL pour être autorisés à mettre en œuvre ces traitements.

 

Télécharger le PDF

Flash Info – Procédures de recueil des signalements émanant des lanceurs d’alerte

2017-07-17T23:59:20+00:0017 juillet 2017|Actualités|

Le 16 juillet 2017, est parue au Journal Officiel la délibération n°2017-62 ORG du 6 juillet 2017 du collège de l’Agence française de lutte contre le dopage relative aux procédures de recueil des signalements émanant de lanceurs d’alerte.

Cette délibération s’inscrit dans le cadre des obligations incombant aux personnes morales de droit public ou de droit privé ou des administrations de l’Etat d’au moins 50 salariés/agents de mise en place de procédures de recueil des signalements émanant de lanceurs d’alerte  (cf. Flash Info Dispositif d’alerte professionnelle). Ces procédures devront être effectives à compter du 1er janvier 2018.

 

Télécharger le PDF

juin 2017

Flash Info Dispositif d’alerte professionnelle

2018-03-01T15:19:05+00:0023 juin 2017|Actualités|

  • La loi n°2016-1691 du 9 décembre 2016 relative à la transparence et à la lutte contre la corruption a défini les lanceurs d’alerte et renforcé leur protection. La procédure d’alerte a été encadrée. La mise en place de procédures de recueil des signalements des alertes est obligatoire pour les structures d’une certaine taille. Les modalités devaient être fixées par décret. C’est chose faite depuis la parution du décret n°2017-564 du 19 avril 2017 qui entrera en vigueur le 1er janvier 2018.
  • Les entreprises de plus de 50 salariés font partie des organisations qui devront avoir mis en place les procédures de recueil des signalements des alertes au plus tard pour cette date. De quoi parle-t-on ?
Télécharger le PDF