Confidentialité des données des clients

Slides:



Advertisements
Présentations similaires
2 Objectifs de la séance Décrire les effets positifs de la confidentialité des données pour une FI et le client Dressez la liste des indicateurs de performance.
Advertisements

AUDIT Formuler des réponses aux recommandations TRAINING LAF 2009.
20/09/2016DRT du CRDP de l'Académie de Lyon1 EOLE - SCRIBE Votre nouvelle organisation du réseau informatique pédagogique ● DRT : Département Ressources.
Sécurité des systèmes d'information des EPLEFPA D. COLISSON DRTIC DRAAF/SRFD Rhône-Alpes Octobre 2010.
Priorités: Structure. Règles contractuelles Considérer la qualité des entrepreneurs dans l’attribution des contrats. Centraliser l’octroi des contrats.
MODULE 5 Soutien Postérieur à la Formation pour le Développement de Micro-Entreprises et de l‘Emploi Salarié QUEL SOUTIEN « TREE » PEUT APPORTER APRÈS.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Chartes et rangement. Travailler en commun sur les ordinateurs de nos écoles.
CHARTE INFORMATIQUE à l’usage des élèves du collège Saint-Joseph
Le traitement des demandes clients
Un suivi administratif organisé
Qui peut utiliser ces formulaires ? Comment utiliser un formulaire ?
LOGICIELS DE GESTION COMPTABLES
Bac pro gestion-administration Choisir de se former …
Mécanismes de résolution des plaintes
Formation pour les services d'assistance
2.2. La signalisation et l’orientation Textes de référence Exigence de la norme AFNOR NF X §3.2 Accueil du client « b) Signaler les locaux.
Sites Internet et Protection des données à caractère personnel
Colloque sur la clientèle en perte d’autonomie
La mise en place opérationnelle du SNDS
Introduction aux Systèmes de Gestion de Bases de données
L’Autorité de régulation des marchés de capitaux CMA
ENT QU’EST-CE QU’UN ENT? Plateforme numérique pour:
Livret scolaire unique du CP à la 3ème
ORGANISER ET PERSONNALISER L’ACCUEIL TELEPHONIQUE
8.3 Le suivi du système qualité
Quizz ISO 9001 V nouvelles questions
Enregistrer les contacts clients
ENREGISTREMENT DE L’INFORMATION.
Bienvenue Comment peut-on disposer d’un espace numérique permettant de stocker toutes sortes de documents pouvant être utilisés par n’importe quel membre.
Green IT & Cloud L’empreinte écologique de vos actions numériques & règles juridiques. Désiré BRUCKMANN.
Et la vie lycéenne Vous présentent.
Formation sur les bonnes pratiques cliniques
Et la vie lycéenne Vous présentent.
Code de Conduite de l'Association ITIE
Gestion du compte et Méthodes d’inscription
1 Approvisionnement et gestion des stocks. Approvisionnement et gestion des stocks-Module 4 2 Objectifs d’apprentissage Décrire les étapes nécessaires.
la structure de l’entreprise: Définition : La structure organisationnelle d’une entreprise définie le mode d’organisation entre les différentes unités.
Le cloud authec Le cloud privé d’authec : nouvelle plateforme d’échange & consultation de vos données.
Les normes de l’Audit Interne Cour N° 02. Le but des normes de l’audit interne: - Contribue au professionnalisme de la profession - Amélioration des performances.
Protégez l’entreprise contre les attaques informatiques
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Chapitre2: SGBD et Datawarehouse. On pourrait se demander pourquoi ne pas utiliser un SGBD pour réaliser cette structure d'informatique décisionnelle.
Directrice de la Conformité
Divulgation systématique Mettre la transparence au cœur des systèmes nationaux de gouvernance et de gestion [événement] [date]
Le rapport de l'État partie
La sécurité et le rôle du chef d’établissement
Le règlement europeen sur la protection des données personnelles
Le Règlement européen général sur la protection des données (RGPD)
La gestion des habilitations par le partenaire
LLAGONNE Vincent MAUPIN Nicolas FERNANDEZ Quentin
Le portail Mon Compte Partenaire
Formation sur les bonnes pratiques cliniques
Législation.
Mécanismes de résolution des plaintes. Objectifs Reconnaître l’importance de la gestion des réclamations client. Comprendre différents types de mécanismes.
Nouveau Règlement Général de Protection des Données
Depuis le 5 mai 2018, ce Règlement …
PLATE FORME DE GESTION ÉLECTRONIQUE DE DOCUMENTS Présenté par: Amine LARIBI.
La collecte d’informations Présenté par: Boudries. S.
Guide de publication proactive des frais de voyage et d’accueil : la mise en oeuvre du projet de loi C-58 pour les les sociétés d’État et les filiales.
Qu'est-ce que l'audit de TI?
Registre des activités de traitement
1 Approvisionnement et gestion des stocks. Approvisionnement et gestion des stocks-Module 4 2 Objectifs d’apprentissage Décrire les étapes nécessaires.
5.6 Documentation du SCI Certains documents doivent être gardés chez chaque paysan ainsi qu’au bureau du SCI (tel que prescrit par le Manuel du SCI:
Présentation du site Martine Cochet.
Charte d’utilisation des données agricoles
Diapositives 11 : Le vote 1.
1 Approvisionnement et gestion des stocks. Approvisionnement et gestion des stocks-Module 4 2 Objectifs d’apprentissage Décrire les étapes nécessaires.
2.5. La réorientation des prospects Textes de référence Exigence de la norme AFNOR NF X §3.2 « c) Assurer un accueil physique et/ou téléphonique.
INFRASTRUCTURE À CLÉS PUBLIQUES || PUBLIC KEY INFRASTRUCTURE. | HISSEIN BANAYE HASSAN
Transcription de la présentation:

Confidentialité des données des clients

Objectifs Souligner les effets positifs de la confidentialité des données pour une IF et pour le client. Connaître les bonnes pratiques mises en œuvre par une IF concernant la sécurité et la confidentialité des données. Nouvelle diapositive – revoir le contenu. Ces objectifs sont-ils les bons ? NOUVEAU

Le principe en pratique : L’IF respecte toutes les lois locales sur la confidentialité des données. Elle n’utilise les informations des clients que de la façon convenue lorsque ces données ont été recueillies. A retenir : Les clients confient aux prestataires de services financiers des données personnelles et financières très sensibles. Voici la définition de la Smart Campaign pour le principe « Confidentialité des données des clients ». Une institution met ce principe en pratique lorsqu’elle respecte toutes les lois locales concernant la confidentialité des données ; et seulement si elle utilise les informations des clients comme il a été convenu lorsque ces données ont été recueillies. A retenir, la responsabilité qui va de pair avec la confiance des clients. Les clients confient aux prestataires de services financiers des données personnelles et financières très sensibles.

PPC n°6 : Normes appropriées Les données du client sont gardées en sécurité et restent confidentielles. Les clients sont informés du caractère confidentiel de leurs données et donnent leur consentement pour leur utilisation. Discussion – 12 mn. Présenter ces 2 normes appropriées – 7 critères de conformité et indicateurs. 4 mn. Poser deux questions aux participants : 2 mn chacune, discussion 2 mn chacune Q : Que faut-il faire pour respecter la première norme ? 1) Politique – doit être écrite ; 2) des systèmes, pour les données quantitatives et qualitatives ; 3) des sanctions pour ceux qui ne respectent pas cette politique et ces systèmes. (Note : la confidentialité des données quantitatives est aussi importante que celle des données qualitatives.) Q : Que faut-il faire pour respecter la seconde norme ? 1) Formation du personnel – point à discuter, ateliers initiaux/de recyclage, etc. ; 2) divulgation aux clients – contrat de prêt, lecture à voix haute en particulier pour les clients illettrés, consentement écrit, notification aux bénéficiaires etc. L’IF vérifie la formation du personnel et des tiers.

PPC n°6 : Normes appropriées ✔ Politique / processus de confidentialité – par écrit ✔ Sanctions en cas de violation ✔ Contrat avec les tiers ✔ Processus de contrôle quand le personnel quitte l’IF ✔ Système pour protéger les données des clients ✔ Reprise d’activité en cas de crise / plan de poursuite ✔ Dossiers sécurisés – physiques/électroniques ✔ Mots de passe informatiques changés fréquemment ✔ Sauvegardes quotidiennes ✔ Utilisation des fichiers hors du bureau contrôlée Les données du client sont gardées en sécurité et restent confidentielles. Lecture et discussion : 7 mn 6.1.0.0 Les données du client sont gardées en sécurité et restent confidentielles. 6.1.1.0 Une politique et un processus documenté sont mis en place pour préserver la confidentialité, la sécurité et la validité des informations personnelles, transactionnelles et financières des clients. Ceci inclut la collecte, le traitement, l'utilisation, la diffusion et le stockage des données des clients. 6.1.1.1 Des pénalités sont prévues en cas de divulgation des données du client aux tiers (y compris au garant et aux membres de la famille qui ne sont pas des signataires autorisés du compte) sans le consentement préalable du client. 6.1.1.2 Le contrat de l’IF avec les tiers qui ont accès aux données des clients indique que ces derniers préserveront la sécurité et la confidentialité des données des clients. L’IF veille au respect de l'exécution de ce contrat et prend des mesures lorsque des problèmes sont identifiés. 6.1.1.3 L’IF dispose d'un processus explicite visant à protéger les données des clients lorsque le personnel démissionne ou s'il est licencié. 6.1.2.0 Le système de le prestataire protège contre le vol ou l'utilisation abusive des données ou de l'identité des clients, contre la violation de la sécurité et l'accès frauduleux. 6.1.2.1 Un plan de reprise après les catastrophes et des temps d'arrêt est mis en place, y compris un plan de continuité des activités. 6.1.2.2 Les dossiers sont conservés dans un système sécurisé, sur un support électronique ou physique, et sont protégés contre les accès inappropriés, le vol et les dommages. 6.1.2.3 Des mesures visant la sécurité des données sont en place pour assurer la protection contre l'accès non autorisé aux données (par exemple, des mots de passe, des niveaux d'accès, des infrastructures logicielles). Les mots de passe des TI sont changés périodiquement avec différents niveaux d'accès en fonction du poste occupé par le personnel qui a accès aux données. 6.1.2.4 L’IF effectue au moins une sauvegarde quotidienne des données de ses clients. 6.1.2.5 L'utilisation des dossiers par les employés en dehors du bureau est contrôlée (par exemple, ils ne peuvent pas emporter les dossiers ni les documents de prêt des clients à leur domicile ni avoir accès au SIG depuis leur domicile), et le prestataire conserve les registres des noms du personnel qui demande l'accès aux dossiers des clients.

PPC n°6 : Normes appropriées Les clients sont informés du caractère confidentiel de leurs données et donnent leur consentement pour leur utilisation. ✔ Consentement écrit – tiers / vérification centrale des risques etc. ✔ Clause de confidentialité dans les contrats des produits ✔ Bénéficiaires notifiés ✔ Programme de formation du personnel ✔ Formation des chefs de groupe ✔ Clients informés pour protéger les codes PIN ✔ L’IF vérifie que le personnel des tiers est formé sur la politique/le processus de confidentialité des données Lecture et discussion : 7 mn 6.2.0.0 Les clients sont informés du caractère confidentiel de leurs données et donnent leur consentement pour leur utilisation. 6.2.1.0 Au début du processus, lors de la demande, les clients donnent leur consentement avant que le prestataire ne communique leurs informations personnelles à une audience externe (y compris les centrales de risques, les membres de la famille, les garants, les assureurs, les compagnies de recouvrement), ou pour la documentation commerciale ou d'autre contenu public. Le personnel doit mettre en évidence le texte de consentement signé par un client.) (Certificateur : le consentement du client doit être donné au moment de la demande, puisque la vérification auprès de la centrale des risques sera faite avant approbation du prêt et signature du contrat.) 6.2.2.0 Les contrats comportent une explication claire et concise sur le mode de protection des données des clients et les modalités d'utilisation ou de partage, y compris le partage avec une centrale de risques. 6.2.3.0 Les clients désignent des bénéficiaires pour les polices d'assurance vie, et on leur rappelle d'aviser les personnes désignées en tant que tels. 6.2.4.0 L’IF a mis en place un programme de formation efficace pour s'assurer que le personnel a une bonne compréhension des politiques et procédures relatives à la confidentialité des données des clients et possède les compétences pour les appliquer. 6.2.4.1 Les chefs de groupe sont formés pour protéger les informations des membres, en particulier les soldes des comptes d'épargne, les dates de décaissement de prêt, et les informations sur les problèmes de remboursement. 6.2.4.2 Le personnel informe les clients sur l'importance de protéger les numéros d'identification personnelle et leur montre comment s'y prendre. 6.2.5.0 L’IF vérifie que les tiers (gestionnaires de réseaux d'agents, etc.) assurent la formation de leurs représentants sur les politiques et procédures relatives à la confidentialité des données des clients.

Services financiers digitaux et confidentialité La hausse rapide de l’utilisation du téléphone portable augmente les « empreintes numériques » du client. Les partenariats entre IF, opérateurs de téléphonie, réseaux d’agents, plateformes technologiques, etc., compliquent la question de la responsabilité envers le client. Dans votre institution, les pratiques et systèmes de gestion des données ont-ils évolué depuis que vous y travaillez ? De quelle manière ?

Bonnes pratiques – confidentialité et sécurité Demander aux employés de signer un accord de confidentialité en même temps que leur contrat d’embauche. Etablir une « hiérarchie des accès utilisateurs » clairement définie, pour tout employé pouvant accéder à des données sensibles. Faire des campagnes régulières auprès des clients pour mettre à jour leurs données, et les inciter à participer. Ne pas permettre que les informations disponibles sur l‘intranet soient imprimées ou téléchargées, pour tout usage ne relevant pas du bureau. Voici des exemples de bonnes pratiques que les participants peuvent prendre en compte lorsqu’ils définissent des politiques et systèmes pour assurer la confidentialité et la sécurité des données des clients. Établir une « hiérarchie des accès utilisateurs » clairement définie, pour tout employé pouvant accéder à des données sensibles. Cela restreint l’accès à la base de données, en fonction du poste de l’employé. Pour la base de données il est toujours nécessaire qu’au moins deux personnes, souvent d’autres employés de différents départements, autorisent l’accès ou les modifications aux personnes qui entreront ou modifieront les données des clients. Il faut aussi changer les mots de passe fréquemment. Toute personne accédant à la base de données utilise un identifiant et mot de passe personnel. Les utilisateurs doivent modifier leurs mots de passe tous les quatre mois, sans pouvoir réutiliser un mot de passe précédent. A chaque fois qu’un employé accède à la base de données, son nom, l’information recherchée, et le moment de la requête, doivent être enregistré dans un fichier. Les employés du siège qui entrent et sortent du bâtiment principal utilisent un scanner d’empreintes digitales et s’identifient, pour éviter tout accès non autorisé aux données des clients conservées dans ce lieu.  Campagnes régulières : les IMF aident leurs clients qui ont besoin de corriger/mettre à jour leurs informations personnelles ou financières. Cela suppose, non seulement d’aider les clients à corriger les données enregistrées par l’IMF, mais aussi de s’assurer que les centrales des risques et agences gouvernementales disposent aussi des informations correctes sur le client.

Bonnes pratiques – confidentialité et sécurité Vérifier ponctuellement la sécurité des dossiers physiques dans les agences (par ex. par les auditeurs internes). Former les clients pour qu’ils puissent maintenir la confidentialité des données du groupe. Décrire dans le règlement du personnel les sanctions en cas d’utilisation abusive des données des clients. Voici des exemples de bonnes pratiques que les participants peuvent prendre en compte lorsqu’ils définissent des politiques et systèmes pour assurer la confidentialité et la sécurité des données des clients. AUDITER LA SECURITE PHYSIQUE Une IMF exige de son département d’audit interne qu’il vérifie la sécurité physique des systèmes d’archivage des dossiers au siège, en agence, et dans les succursales des correspondants bancaires. Ces audits de sécurité assurent que les dossiers des clients sont conservés en sécurité et que seul les employés autorisés peuvent y accéder. Autres idées : Avoir recours à un « hacker » interne, dont le rôle est de tester en continu l’intégrité du système, en tentant de s’introduire dans le système de l’extérieur.

Outils disponibles auprès de la Smart Campaign Ces outils, et des dizaines d’autres, sont disponibles gratuitement sur le site Internet de la Campaign. www.smartcampaign.org.