Politique de constatation, d'escalade et de signalement des violations au sein de TESY OOD (SARL)

 

I.                     GÉNÉRALITÉS

TRSY OOD (la Société, TESI), immatriculée au Registre de commerce et des sociétés sous numéro EIK: 040029337, a son siège social et son administration centrale à: Shumen, 48, Blvd. Madara, représentée par son directeur Zhechko Kyurkchiev.

Cette politique fait partie des mesures visant à assurer la sécurité des informations et à établir un système efficace de protection des données personnelles au sein de Tesi et qui soit conforme à la législation en vigueur et aux bonnes pratiques applicables.

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46 / CE s'applique à partir du 25 mai 2018, ainsi que la Loi sur la protection des renseignements personnels, mettant l'accent sur la sécurité des données personnelles. Les mesures techniques et organisationnelles appropriées devraient être traitées de manière à assurer une sécurité appropriée, y compris une protection contre tout traitement non autorisé ou irrégulier et contre la perte, la destruction ou les dommages accidentels. Les dommages peuvent être à la fois physique et corporels ou incorporels à des particuliers, tels que la perte de contrôle sur leurs données personnelles ou la restriction de leurs droits, la discrimination, le vol d'identité ou la fraude d'identité, la perte financière, le retrait non autorisé de pseudonymisation , l'atteinte portée à la réputation, à la confidentialité des données personnelles protégées par le secret professionnel ou tout autre conséquence négative économique ou sociale considérable par rapport aux personnes physiques concernées.

Cette stratégie vise à créer les prérequis organisationnels suivants:

·         fournissant un niveau de sécurité approprié au risque découlant du traitement spécifique des données personnelles;

·         prenant en compte les réalisations du progrès technique, le coût de la mise en œuvre, la nature, l'étendue, le contexte et les objectifs du traitement, ainsi que les risques de différentes probabilités et charges sur les droits et libertés des individus;

·         assurant la détection rapide des violations de sécurité, la nécessité de notification et d'information du superviseur / des sujets de données concernées.

·         Lors de l'élaboration d'un plan d'urgence efficace (playbook) au cas par cas, on tiendra dûment compte de toutes les circonstances entourant la violation.

II.                     NOTIONS CLÉS

"Politique" - la politique actuelle de constatation, d'escalade et de signalement des violations de données personnelles, adoptée par TESY OOD;

GDPR - Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46 / CE ;

LPDP - Loi sur la protection des données personnelles;

CPDP - Commission pour la protection des données personnelles;

RPD - Responsable de la protection des données chargé de l'application de l'article 39 de la Loi sur la protection des données personnelles. Le RPD est nommé par l'ordre du directeur de TESY OOD;

"Données Personnelles" - toute information relative à une personne physique identifiable; un individu peut être identifié (directement ou indirectement), notamment par un identifiant tel que nom, numéro d'identification, adresse, identifiant en ligne ou un ou plusieurs éléments physiques, physiologiques, génétiques, psychologiques, mentaux, économiques, l'identité sociale de cet individu;

"Entité" - personne physique dont les Données Personnelles sont traitées, qu'il s'agisse d'un contractant de la Société, d'un Employé ou de toute autre personne dont les données sont traitées par la Société;

"Traitement" - toute opération / ensemble d'opérations effectuées avec des Données Personnelles / un ensemble de Données Personnelles, par des moyens automatiques / autres, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la diffusion ou autres moyens par lesquels les données deviennent disponibles, le classement ou la combinaison, la limitation, l’effacement ou la destruction;

"Administrateur" - une personne qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens de traitement des données personnelles. L'Administrateur dans ce cas est la Société;

"Processeur" - une personne physique (autre que les employés de la Société) ou une entité juridique qui traite des données personnelles sur la demande de la Société, étant donné que TESY définit strictement le but et les moyens de traitement, et vérifie si la personne satisfait aux exigences du GDPR;

"Sous-processeur" - sous-traitant du processeur sélectionné;

"Employé" - toute personne employée par la Société dans le cadre d'un contrat de travail et / ou civil qui traite des Données Personnelles;

"Catégories spéciales de données personnelles" - données selon l'art. 9 GDPR, à savoir ceux qui révèlent l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l'appartenance à un syndicat, ainsi que le traitement de données génétiques, les données biométriques dans le seul but d'identifier un individu, des données sur la vie sexuelle ou l'orientation sexuelle de l'individu;

Données relatives aux condamnations et aux violations - Données selon l'art. 10 du GDPR, dont le traitement est effectué uniquement sous le contrôle de la CPDP;

"Violation de sécurité" - un événement menant à la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l'accès aux données personnelles qui sont transmises, divulgués, stockés ou autrement traités, tels que:

·         La "Destruction" existe lorsque les données n'existent plus / n'existent plus sous la forme dans laquelle l'administrateur peut les utiliser;

·         La "perte" se produit lorsque les données personnelles existent mais que l'administrateur a perdu le contrôle / l'accès / l'autorité factuelle sur celles-ci;

·         Le "traitement non autorisé ou illicite" existe lorsqu'il y a divulgation de Données Personnelles / accès à des destinataires non autorisés, ainsi que toute autre forme de traitement violant le ОРЗЛД/GDPR, destruction accidentelle ou illicite, perte, altération, divulgation abusive ou accès à des données personnelles transmises, stockées ou autrement non réglementées.

·         Le "dommage" signifie tout dommage physique, matériel ou moral résultant d'un traitement ou d'une perte illicite non autorisé.

Les violations de sécurité peuvent être divisées en trois groupes principaux:

1.          Violations de la confidentialité - en rapport avec la divulgation non autorisée ou accidentelle ou l'accès aux données personnelles;

2.          Violations de l'accessibilité - lorsqu'une perte accidentelle ou non autorisée ou l'accès à / la destruction de données personnelles se produit;

3.          Violation de l'authenticité - à l’altération accidentelle ou non autorisée des données personnelles.

Certaines violations peuvent satisfaire simultanément deux ou trois des conditions décrites ci-dessus de 1 à 3 inclusivement.

«Équipe d'intervention» est une équipe chargée de la violation de la sécurité qui coordonne l'enquête au cas par cas d'une violation de sécurité, aide le RDP à effectuer des analyses, des suggestions et des actions de réduction des risques; entreprend un plan d'action et des mesures pour limiter les dommages et restaurer la sécurité de l'information. L'équipe est composée de membres ayant des connaissances et de l'expérience en sécurité de l'information, en ressources humaines et autres et, si nécessaire, soutenu par du personnel supplémentaire d'autres départements, par exemple le département juridique ou le service de sécurité de l'information.

III.                OBJECTIFS DE LA POLITIQUE

Cette politique vise à être un outil efficace pour maintenir la sécurité et empêcher le traitement, qui est en violation des règles internes de TESI, de GDPR et de la législation applicable en matière de protection des données; et établir des garanties efficaces en cas de violation de données à caractère personnel pour traiter les incidents de manière appropriée et opportune. 

IV.                RECOURS EN CAS DE VIOLATION

La Société prend toutes les mesures possibles pour demander aux employés de reconnaître la survenance et le risque d'incidents de sécurité. Les employés devraient recevoir des instructions claires quant à la nature prioritaire de la déclaration rapide d'une atteinte potentielle à la sécurité et de l'aide de suivi nécessaire pour fournir des détails écrits de l'incident dans les meilleurs délais.

Une fois avoir pris connaissance avec cette politique, chaque employé est tenu de l'appliquer en priorité aux activités de traitement des données personnelles de la société. En apparition de doute de violation de la sécurité, l'employé qui a constaté la présence éventuelle d'un tel événement est tenu d'informer immédiatement le RDP qui, après avoir examiné la situation particulière, formera l’équipe d'intervention.

L'équipe d'intervention initie immédiatement une enquête sur le signal potentiel de violation de sécurité, en utilisant toutes les ressources organisationnelles et techniques de la Société, en informant le RDP et en l'aidant à effectuer le suivi des analyses, des suggestions et la réduction des dommages.

Le RDP prépare un document évaluant le risque éventuel de la violation et de ses conséquences, y compris les sauvegardes susceptibles d'en atténuer les effets et de les transmettre au Gestionnaire de la Société. Sur la base du document mentionné dans la phrase précédente, le Gestionnaire prend une décision motivée sur l'existence d'une obligation de:

·         Aviser la Commission de protection des données personnelles de la violation; et

·         Informer les personnes concernées lorsqu'un risque élevé sous le point précédent est présent.

Toute violation de la sécurité est soumise à la documentation de la Société.

V          PLANS ET GESTION DES INFRACTIONS

Le diagramme ci-dessous illustre les actions à entreprendre en cas de violation établie.

VI.                   CONSTATATION D’INFRACTION À LA SÉCURITÉ 

Sur la base de l'information recueillie, l'équipe d'intervention et le RDP évaluent le risque pour les sujets à la suite de l'infraction à la sécurité.  S'il est identifié, le RDP doit donner son avis sur l'infraction à la sécurité identifiée et recommander des mesures pour minimiser / récupérer les dommages.

Lorsque la violation de la sécurité des données personnelles est susceptible de présenter un risque élevé pour les droits et libertés des personnes, la Société doit, dans un délai raisonnable après avoir pris connaissance et évalué le risque pouvant donner lieu à cette violation, communiquer à la personne concernée la violation de ses données.

La notification aux personnes concernées est conforme à un modèle approuvé (annexe n ° 1). Les personnes concernées doivent être personnellement averties de manière appropriée à la discrétion de la Société - par e-mail, SMS, par lettre, par téléphone, via un avis public afin que les entités soient effectivement informées.

Conditions dans lesquelles aucune notification n'est requise:

·         Lorsque la violation de la sécurité ne risque pas de porter atteinte aux droits et libertés des personnes concernées;

·         Lorsque les données personnelles sont accessibles au public et que la divulgation ne présente aucun risque pour les entités;

·         Lorsque la violation de la sécurité n'affecte que la confidentialité et que les données personnelles concernées sont cryptées de manière sécurisée avec un algorithme technologique moderne, la clé de déchiffrement n'est pas divulguée et ne peut être détectée utilisant les moyens techniques disponibles par une personne sans accès à la clé.

La Société est réputée avoir pris connaissance de la survenance d'une violation de la sécurité lorsque l'équipe d'intervention et le RPD sont d'avis que les conditions préalables à une telle occurrence sont présentes. 

NOTIFICATION DE LA CPDP

Dans les 72 heures (soixante-douze) heures suivant la connaissance de la violation, la Société est tenue d'aviser la CPDP. La notification à l'autorité de surveillance est conforme à un modèle approuvé (annexe n ° 2).

Si la Société, au moment de la notification à la CPDP, n'a pas encore communiqué à la personne concernée la violation de ses données personnelles, la CPDP peut, après avoir considéré la probabilité de violation de données personnelles comme un risque élevé, doit demander à la société de signaler la violation. Dans ce cas, la Société, conformément aux instructions de la CPDP, devrait prendre des mesures pour aviser les personnes concernées de manière appropriée au cas par cas.

Différents types de violations peuvent exiger que des informations supplémentaires soient fournies pour expliquer pleinement les circonstances de chaque cas particulier.

Le manque d'informations précises (par exemple, le nombre exact de personnes affectées) n'empêche pas la notification en temps voulu de la CPDP. Dans ce cas, le nombre approximatif de personnes affectées doit être indiqué.

S'il n'est pas possible de soumettre l'information requise en même temps que la notification à la CPDP, celle-ci peut être soumise par étapes sans retard injustifié.  Les prérequis pour une telle notification par étapes sont les suivants:

·         Tous les faits pertinents ne sont pas disponibles;

·         La violation de la sécurité est de nature plus complexe (par exemple, certains types d'incidents de cybersécurité);

·         Indiquer les raisons du retard et informer la CPDP en temps opportun qu'il est impossible de fournir des renseignements complets;

·         Obtenir l'approbation la CPDP pour une telle notification par étapes;

·         Obtenir des lignes directrices de la CPDP concernant la notification aux entités concernés, si, quand et comment être informées.

Exceptionnellement et dans des circonstances spécifiques, la notification peut être reportée - par exemple, si pendant l'enquête des violations de sécurité multiples et similaires sont détectées pour certaines catégories de données pendant une courte période impliquant un grand nombre d'Entités, la Société peut en informer la CPDP en même temps, dépassant le délai de 72 heures.  Cette possibilité devrait être appliquée de manière restrictive et en tenant strictement compte des spécificités du cas particulier.

La notification à l'autorité de contrôle dans de tels cas doit contenir les raisons du retard.

ÉVALUATION DU RISQUE

Dès qu'elle reçoit ou soupçonne une violation possible de la sécurité, l'équipe d'intervention informe la CPDP, cette dernière procédant au plan d'action suivant (en fournissant les ressources nécessaires / une expertise supplémentaire si nécessaire):

·         évaluation des risques sur une échelle de 1 à 5 (de négligeable à élevé, à la fois en probabilité d'occurrence et en intensité) des droits des entités compte tenu de l'ampleur de l'impact;

·         définir les catégories de données personnelles affectées;

·         constater l'absence / la présence de cryptage / autres circonstances pertinentes qui minimisent le risque de violation de la sécurité et, par conséquent, éliminer la nécessité de notifier les entités;

·         donner une recommandation, selon le degré de risque identifié, s'il faut aviser la CPDP;

·         proposer des mesures de suivi spécifiques pour limiter le risque d'une violation de la sécurité.

À l'évaluation des risques, l'équipe d'intervention peut utiliser comme guide les violations indicatives des risques et la nécessité d'une notification (annexe n ° 4). Les directives sont mises à jour par le RPD, qui peut les compléter par d'autres bonnes pratiques.

Il existe un risque élevé à des fins d'évaluation lorsqu'une violation de la sécurité est susceptible d'entraîner des dommages physiques, matériels ou immatériels à des entités dont la sécurité est compromise. Des exemples de tels dommages sont la discrimination, le vol d'identité, la fraude, la perte financière ou l'atteinte portée à la réputation. Lorsqu'une atteinte à la sécurité comprend des données personnelles relatives à la race ou l'origine ethnique, l'état de santé, l'orientation sexuelle, les condamnations ou les poursuites imposées par des mesures coercitives à cet égard, la survenance de dommages matériels, matériels ou immatériels est présumée.

Lors de l'évaluation du risque de violation de la sécurité, il convient de tenir compte des circonstances spécifiques, notamment de la complexité de l'impact potentiel et de la probabilité d'occurrence, telles que:

· Le type de violation de sécurité;

· La nature, la sensibilité et le volume des données personnelles affectées - plus les données sont sensibles, plus le risque de dommages aux entités est grand. 

Les données sensibles peuvent être des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l'appartenance à un syndicat, ainsi que le traitement de données génétiques, les données biométriques dans le seul but d'identifier un individu, des données sur la vie sexuelle ou l'orientation sexuelle de l'individu.

En dehors de cela, une petite quantité de données personnelles sensibles peut avoir un grand impact sur une entité, et un large éventail de détails sur ces données peut révéler plus d'informations à ce sujet.  Des violations impliquant une grande quantité de données personnelles pour un large éventail d’entités peuvent également avoir un effet négatif important;

·         Identification illicite des entités concernées par des tiers - lorsqu'un accès non autorisé aux données personnelles concernées par un tiers il devrait être pris en compte à quel point il sera facile pour cette personne d'identifier les entités. Selon les circonstances, l'identification pourrait être faite en utilisant les données sans recherche supplémentaire pour identifier l'individu, et il peut être extrêmement difficile de lier les données personnelles concernées à une entité particulière, mais néanmoins l'identification est possible sous certaines conditions;

·         La gravité des conséquences pour les entités;

·         Les caractéristiques spécifiques des entités;

·         Les caractéristiques spécifiques des activités de la Société en tant qu'administrateur;

·         Le nombre d'entités affectées.

REGISTRE DES INFRACTIONS

Que la violation de sécurité nécessite ou non une notification, la Société est tenue d'enregistrer tous les faits, les conséquences, les actions entreprises, les arguments des décisions prises.  Sur recommandation du RPD et la décision du directeur, la Société crée un registre spécial à cet effet (Annexe n° 3).

Le dossier doit nécessairement inclure l'heure ou la période d'occurrence présumée, l'heure de l'établissement, l'heure du rapport et le nom du notateur. Suite à l'analyse de l'équipe d'intervention, le dossier doit enregistrer les conséquences de l'incident et les mesures prises pour y remédier.

PROCÉDURES ET MÉCANISMES PRÉVENTIFS

Le RPD prépare un plan de formation pour le personnel nouvellement recruté et / ou reconduit, ainsi qu'une formation périodique de tous les employés. Dans l'exercice de leurs activités, les employés sont également guidés par les politiques internes, les règles et les procédures de la Société dans le traitement des données personnelles.

Au départ des employés, toutes les mesures techniques et organisationnelles nécessaires à la protection de chaque registre / catégorie de données personnelles conservées par TESY OOD sont prises, telles que:

1)     Changement des mots de passe;

2)     Restriction d'accès (y compris UCC, services de cloud, serveurs, etc.);

3)     Le retour de tous les appareils professionnels, tels que téléphone, ordinateur portable, lecteur flash USB, etc selon le cas spécifique; le retour des appareils doit être suivis d'effacement des informations personnalisées du dernier employé avoir utilisé l'appareil, dans les cas où le dispositif retourné est sujet à une mise au rebut / destruction directe.

4)     Restriction de l'accès physique en récupérant les clés, en modifiant les codes d'accès, etc.

Cryptage des données - dans le cas où il existe un risque accru d'accès physique non autorisé aux supports de données sensibles ou dans le cas de vol de dispositifs de service qui sont porteurs de données personnelles.

En cas de récupération de données, la procédure est exécutée après l'autorisation écrite de la personne responsable de la sécurité de l'information, ce qui sera reflétée dans le registre d'archivage et de récupération de données.

En cas de compromission de mot de passe, il est immédiatement remplacé par un nouveau, étant donné que le certificat d'accès de l'employé sera annulé et l'événement sera reflété dans le registre des incidents.

L'équipe d'intervention, ensemble avec le ДЛЗЛД/RPD, peut prendre d'autres mesures préventives, des mécanismes et des instructions internes.

Le présent règlement et ses annexes ont été élaborées le 21/05/2018, en vigueur depuis le 25/05/2018.

 

Zhechko Kyurkchiev, Directeur de TESY OOD.