We use cookies on this website. Some are needed for the site to function correctly. Others to analyze how our website is used. Read more about cookies here.
Politique de confidentialité
Traitement des données personnelles au sein de NFB
Le 7 septembre 2018, les réglementations concernant le traitement des données personnelles étaient précédemment régies par la loi sur les données personnelles (PuL). À partir du 25 mai 2018, le Règlement général sur la protection des données (RGPD) s’applique, qui sera également appliqué comme loi dans tous les États membres de l’UE. Le règlement entraînera certains changements pour ceux qui traitent des données personnelles et renforcera les droits des individus en matière de vie privée.
NFB ne traite que les données personnelles dont le conseil a besoin pour délivrer et maintenir les autorisations et certificats de navigation de plaisance.
Sécurité de l’information
La sécurité de l’information fait référence à la protection de la confidentialité, de l’exactitude et de la disponibilité des informations au sein des opérations de NFB.
Confidentialité signifie : La condition dans laquelle les informations ne sont pas rendues disponibles ou divulguées à des personnes non autorisées.
Exactitude signifie : La caractéristique des informations qui garantit qu’elles ne sont pas altérées de manière non autorisée, par erreur ou en raison d’un dysfonctionnement. Dans ce contexte, la traçabilité est un concept important. La traçabilité fait référence à la capacité de retracer de manière unique les activités réalisées et d’identifier la personne ou la fonction du système qui les a réalisées.
Disponibilité signifie : La capacité d’utiliser les informations dans la mesure attendue et dans le délai souhaité.
Objectifs et focus de la sécurité de l’information au sein de NFB
Les objectifs de NFB en matière de sécurité de l’information sont les suivants :
- Les informations confidentielles concernant NFB ou ses membres ne doivent jamais être rendues disponibles ou divulguées à des parties non autorisées, quelle que soit la raison.
- Les informations concernant les données personnelles doivent toujours être précises et non manipulables. Si les informations enregistrées sont incorrectes, une correction doit être effectuée immédiatement dès la détection de l’erreur.
- Les informations sur les activités de NFB dans son rapport annuel doivent toujours être conformes aux lois applicables et être représentatives des opérations de NFB.
- NFB doit toujours disposer de systèmes de sécurité de l’information répondant aux exigences légales et commerciales pour accéder aux informations nécessaires en temps opportun.
- Le travail sur la sécurité de l’information doit se concentrer sur l’obtention d’accès auprès de fournisseurs externes, établis sur le marché, à des systèmes présentant une haute fonctionnalité, sécurité et performance qui favorisent les objectifs de NFB en matière de sécurité de l’information.
- Le conseil d’administration devrait, si nécessaire, établir des instructions et des lignes directrices supplémentaires décrivant comment le travail sur la sécurité de l’information devrait être mené pour répondre aux objectifs et au focus spécifiés du conseil.
Responsabilité et coordination de la sécurité de l’information
Le conseil est responsable de diriger et de coordonner le travail sur la sécurité de l’information. Cela comprend l’attribution de responsabilités au sein de NFB pour les tâches à accomplir. Les tâches, mais pas la responsabilité attribuée, peuvent être déléguées à d’autres au sein de l’organisation.
Analyse des risques
Le secrétariat devrait annuellement et lorsque des changements affectant la sécurité de l’information se produisent, analyser les risques existants dans la sécurité de l’information de NFB. Les risques identifiés devraient être gérés. Les décisions concernant les mesures devraient être prises par le conseil.
Règles internes pour la sécurité de l’information
Le secrétariat devrait établir des règles internes pour le travail sur la sécurité de l’information. Ces règles internes devraient inclure, entre autres, la sécurité physique, la protection de la communication et de l’exploitation des données, la traçabilité dans les systèmes informatiques et les règles pour les droits d’accès aux systèmes informatiques. Les règles internes peuvent être divisées en plusieurs documents et devraient être régulièrement évaluées et mises à jour au besoin.
Sécurité physique
Les locaux du secrétariat devraient avoir un système de protection périmétrique qui empêche l’accès non autorisé aux documents de NFB et aux ressources informatiques. La protection périmétrique devrait inclure des alarmes incendie et anti-intrusion connectées à un centre de surveillance avec une surveillance 24/7. Il devrait toujours y avoir une redondance pour la communication et l’exploitation des données. NFB devrait être en mesure de suivre via des journaux ce que chaque individu a fait en termes de modifications et quand. Lorsque NFB utilise des fournisseurs externes pour soutenir diverses parties de l’exploitation, les fournisseurs devraient être informés des exigences de NFB en matière de sécurité de l’information.
Accès à l’information
Fondamental pour l’accès à l’information est que les employés et les fonctionnaires ne devraient avoir accès qu’aux informations nécessaires à l’exécution de leurs tâches. Tous les systèmes informatiques devraient avoir la capacité d’attribuer des autorisations basées sur les rôles ou de manière individuelle. Les systèmes informatiques devraient être conçus de manière à ce que l’accès et l’autorisation puissent être spécifiés par fonction ou groupe fonctionnel. Il devrait également être possible de permettre à certains utilisateurs de consulter des informations sans pouvoir les modifier. NFB devrait vérifier régulièrement, mais au moins annuellement, que les droits d’accès existants sont limités aux besoins basés sur les tâches assignées.
Signalement et traitement des incidents liés à la sécurité de l’information
Tous les incidents impliquant des interruptions critiques pour l’activité ou des incidents concernant des données personnelles devraient être signalés au conseil dès que possible. Avec le Règlement général sur la protection des données de l’UE, NFB sera soumis à des règles concernant l’obligation de signaler les incidents impliquant des données personnelles à l’Inspection des données.
Procédures de suppression des données personnelles
Dans le cadre du droit des personnes concernées en vertu du RGPD à être oubliées et des règles sur la suppression, NFB doit établir une procédure interne pour la manière dont la suppression des données personnelles devrait avoir lieu. Les personnes décédées devraient être supprimées après 2 ans. Tout cela s’applique indépendamment de l’existence de frais impayés car NFB ne collecte pas de frais impayés auprès des