Charte Internet Confiance Vivendi

Le modèle économique de l’abonnement ou de la vente par Internet tient une place prépondérante dans l’ensemble des métiers du groupe, ce qui amène Vivendi à traiter un volume important de données personnelles, portant le cas échéant,  aussi bien sur les données administratives que sur les préférences et usages de ses clients.

Vivendi s’engage à :

• mettre en place les dispositifs adaptés afin de limiter au maximum le risque d’altération, de perte et de diffusion à des tiers non autorisés, des informations confidentielles collectées,

§          vérifier que ses partenaires (fournisseurs, prestataires) respectent les valeurs et règles de conduite définis dans chacun des pays de sa présence et les dispositifs sus-visés.

Ce guide sur la protection des données sensibles énonce les principes à décliner par chacun de ses Métiers partout où ils opèrent. Il doit être respecté par tous les acteurs ayant accès aux systèmes d’information de Vivendi et de ses Métiers ou traitant leurs données: clients, collaborateurs, stagiaires, intérimaires, prestataires, partenaires, sous-traitants, etc. Une charte définissant l’engagement de Vivendi est consultable sur le site internet.

1. Données sensibles

L’objet du guide est de présenter les meilleures pratiques à mettre en œuvre pour protéger l’information sensible sous toutes ses formes – électronique, parlée, écrite, optique – et à toutes les étapes de sa vie – création ou collecte, traitement, consultation, modification, transmission, stockage, destruction.  Il couvre donc aussi bien les logiciels, les bases de données, les matériels, les réseaux, les supports de données amovibles que les documents papier.

Est dite sensible toute donnée dont la perte, l’altération ou la divulgation pourrait entraîner un préjudice à l’encontre de Vivendi, de ses clients, de ses collaborateurs ou de ses partenaires. Sont considérées comme sensibles :

§          Les données personnelles relatives aux clients (nom, prénom, adresse e-mail, numéro de téléphone, date de naissance),

§          Les données bancaires (CB, RIB),

§          Les usages (consommations, préférences),

§          Les informations stratégiques, financières, commerciales, contractuelles,

§          Les données personnelles relatives aux collaborateurs  (évaluation, salaires),

• Les contenus relatifs à nos activités.

Certaines données, relatives à des personnalités (« classification VIP »), sont considérées comme très sensibles et doivent faire l’objet de mesures particulières de sécurité car, plus que d’autres, elles font l’objet de convoitises et leur divulgation altérerait l’image du Groupe.

2. Grands Principes

Les Métiers doivent se conformer aux lois en vigueur dans les pays où ils opèrent  et doivent a minima :

§          Identifier les données sensibles,

§          Communiquer sur la nécessité de protéger ces données, sensibiliser et former leurs collaborateurs et prestataires,

§          Prendre toutes mesures de protection nécessaires,

§          Veiller à la pérennité des dispositifs mis en œuvre, notamment en menant régulièrement des audits de sécurité,

§          Rendre compte régulièrement  à Vivendi de l’efficacité des mesures prises.

3. Bonnes pratiques

Les dispositifs de sécurité déployés au sein des entités doivent être proportionnés aux risques encourus. Le Secrétariat Général et l’Audit Interne s’assureront de leur correcte mise en place

1.       L’accès à l’information sensible doit être:

§          limité aux utilisateurs dûment identifiés et autorisés dans le cadre de leurs fonctions,

§          tracé au moyen d’un système non falsifiable,

§          revu périodiquement, en application des bonnes pratiques de contrôle interne.

2.       Les postes de travail (PC, ordinateur portable, PDA, …) doivent être protégés contre les failles de sécurité et les codes malveillants.

3.       Les données sensibles ne doivent jamais être stockées en clair sur un support susceptible de sortir des locaux de l’entreprise (ordinateur portable, PDA, clé USB, CD/DVD, etc.).

4.       L’information sensible transitant sur les réseaux internes et externes doit être protégée de manière appropriée (VPN, chiffrement).

5.       Les données sensibles ne doivent jamais être échangées par messageries publiques (webmail, messagerie instantanée).

6.       Les données et les traces doivent être effacées lorsqu’elles ne sont plus utiles, dans le respect du droit à l’oubli.

7.       Les matériels et supports d’information devant être recyclés ou cédés à des tiers, doivent faire l’objet de mesures d’effacement des données sensibles qu’ils contiennent. Des procédures de destruction des données sensibles doivent être définies pour chaque type de support (papier, optique, magnétique, électronique, etc.).

8.       Les données de test ne doivent pas contenir de données sensibles.

9.       Les incidents de sécurité portant sur des données sensibles doivent être identifiés, analysés suivis, traités, et déclarés au Groupe.

10.   Le tiers traitant des données sensibles doit s’engager contractuellement (clause de confidentialité, obligation de décrire les mesures de sécurité prises, reporting) à les protéger avec le niveau de sécurité requis par le Métier. L’engagement du tiers doit pouvoir être contrôlé (clause d’audit).

11.   Les politiques et procédures de protection des données sensibles doivent être revues régulièrement de manière à assurer le maintien dans la durée d’un niveau de protection adapté.

Ce guide doit apporter une aide  à l’ensemble des administrateurs des systèmes d’information déployés au sein des entités de Vivendi pour en protéger les données sensibles. Il ne peut, à elle seule, assurer cette protection.