Secteur des intégrateurs, installateurs, mainteneurs de technologies connectées, sécurisées et pilotées.
Les éléments contractuels et les dossiers techniques concernant la conception des installations réalisées sont stockés par l’installateur.
Ces données peuvent être statiques (plans d’installation) ou dynamiques (identifiants / mots de passe liés aux systèmes).
L’installateur porte la responsabilité de la protection des données de ses clients et doit mettre en œuvre les mesures de sécurité correspondant à la gestion des données client.
Exemple : cas d’un installateur de système d’alarme intrusion
Un installateur réalise des installations de systèmes d’alarme mais doit également en assurer la maintenance. Pour cela, l’installateur stocke notamment les informations concernant ses clients et les installations réalisées chez ces derniers. Ces données (plans d’installation, codes d’accès etc..) sont sensibles car elles permettent les accès administrateur aux installations réalisées, en les associant aux noms et adresses de ses clients.
Les mesures applicables à ce scénario doivent permettre à l’installateur de garantir que les données de ses clients sont protégées contre le vol ou la perte (redondance), et que son organisation permet de garantir
à ses clients un niveau de confidentialité adapté.
Généralités
• Périmètre :
– Mesures applicables à tout prestataire de service d’installation pour
la protection des données relatives à ses clients (données contractuelles, données techniques concernant la réalisation de l’installation etc.).
• Exemples de finalités :
– Conservation de l’historique client / conservation des paramétrages initiaux des systèmes déployés.
• Quelles obligations au regard de la loi informatique et libertés et du RGPD ?
– Réalisation de l’Analyse d’Impact relative à la Protection des Données (AIPD).
• Données collectées :
– Données statiques : coordonnées clients y compris coordonnées bancaires / analyse de risque et plans d’installations / configuration initiale y compris identifiants et mots de passe par défaut.
– Données dynamiques : identifiants et mots de passe permettant l’accès administrateur au système, le cas échéant.
• Durées de conservation :
– À définir contractuellement entre le prestataire d’installation et son client.
• Destinataires :
– Le client, en cas de demande (exemple : oubli de ses identifiants de connexion).
• Information et droits des personnes :
– Le client doit être contractuellement informé du caractère des données conservées.
• Formalités préalables :
– Aucune.
MESURES DE SECURITÉ
• Mise en place d’une politique de sécurité de l’information applicable au prestataire d’installation.
• Définition d’une organisation de la sécurité de l’information avec mise en évidence de l’ensemble des collaborateurs et matériels concernés chez le prestataire d’installation.
• Gestion de la sécurité relative aux ressources humaines (mesures avant embauche / après rupture de contrat à établir).
• Mode de gestion des données (suivi / classification…).
• Contrôle des accès logiques et physiques aux données stockées.
• Mesures cryptographiques.
• Sécurité physique et environnementale.
• Sécurité liée à l’exploitation du système d’information du prestataire d’installation (procédures / surveillance / audit…).
• Sécurité des communications.
• Relations avec les fournisseurs.
• Gestion des incidents liés à la sécurité de l’information.
• Aspects de la sécurité de l’information dans la gestion de continuité d’activité.
