INTRODUCTION À L’ANALYSE ET LA GESTION DES RISQUES
CHAMP D’APPLICATION DE L’ANALYSE ET DE LA GESTION DES RISQUES
MÉTHODOLOGIE DE L’ANALYSE ET DE LA GESTION DES RISQUES
SCÉNARIOS DE RISQUES POTENTIELS
ANALYSE DES RISQUES DANS LES SERVICES DE LA SOCIÉTÉ DE L’INFORMATION ET DU COMMERCE ÉLECTRONIQUE
MESURES INITIALEMENT PRÉVUES
ESTIMATION DU NIVEAU DE RISQUE INITIAL
MESURES PROPOSÉES POUR TRAITER LE RISQUE INITIAL
ESTIMATION DU NIVEAU DE RISQUE RÉSIDUEL
CONCLUSIONS ET RECOMMANDATIONS
ENREGISTREMENT DE VERSION
Raison sociale
Numéro d’identification fiscale
Version
AK ORAL ESTUDIO, S.L.P
B44650661
1.00
Sigle
Date de création
ARLSSI_AK ORAL ESTUDIO, S.L.P
16 février 2024
DESCRIPTION
Identification, analyse, évaluation et gestion des points de risque associés à la conformité aux réglementations des Services de la Société de l’Information et du Commerce Électronique
OBJECTIF DU DOCUMENT
L’objectif de ce document est d’identifier, d’analyser, d’évaluer et de gérer les points de risque associés à la conformité aux réglementations des Services de la Société de l’Information et du Commerce Électronique. De plus, le document contient des procédures, des directives et des recommandations pour gérer les risques auxquels AK ORAL ESTUDIO, S.L.P sera soumis et devra faire face.
Par conséquent, ce document vise à analyser et à évaluer les scénarios de risque potentiels qui pourraient menacer AK ORAL ESTUDIO, S.L.P, à évaluer les facteurs correctifs nécessaires pour atténuer, dans la mesure du possible, ces risques et ainsi garantir la conformité dans le domaine des Services de la Société de l’Information et du Commerce Électronique.
Enfin, il est important de souligner que ce document sera maintenu à jour en permanence et sera révisé chaque fois que des changements pertinents ou substantiels surviendront dans les activités développées par AK ORAL ESTUDIO, S.L.P.
AK ORAL ESTUDIO, S.L.P consacre son activité principale à : CLINIQUE DENTAIRE
Zone géographique d’opération
AK ORAL ESTUDIO, S.L.P opère dans la zone géographique du territoire européen.
AK ORAL ESTUDIO, S.L.P ne possède aucune filiale ni autre société dans sa structure d’entreprise.
3. INTRODUCTION À L’ANALYSE ET LA GESTION DES RISQUES
AK ORAL ESTUDIO, S.L.P considère l’analyse et la gestion des risques comme une partie essentielle du processus de sécurité au sein de son organisation.
L’analyse et la gestion des risques permettront de maintenir un environnement contrôlé, minimisant les risques à des niveaux acceptables pour l’entité. La réduction de ces niveaux sera réalisée par le déploiement de mesures ou contrôles de sécurité, qui établiront un équilibre entre les actions menées par AK ORAL ESTUDIO, S.L.P, les risques auxquels ils sont exposés et les mesures ou contrôles de sécurité adoptés.
Par conséquent, AK ORAL ESTUDIO, S.L.P identifie et évalue ses risques dans le domaine des Services de la Société de l’Information et du Commerce Électronique, en les reliant à ses activités, produits et/ou services, ou aspects pertinents de ses opérations dans le but d’identifier les situations où un non-respect des réglementations mentionnées peut survenir et d’établir une évaluation et une priorisation des risques pour les classer de manière à permettre à l’organisation de prendre des décisions et ainsi favoriser l’adoption de mesures, d’actions et de contrôles préventifs.
À cet égard, l’organisation doit articuler et démontrer son engagement continu envers la gestion des risques qui devrait inclure :
Le but de l’organisation pour gérer les risques et leurs liens avec ses objectifs et autres politiques connexes.
Le renforcement de la nécessité d’intégrer la gestion des risques dans la culture même de l’organisation.
Le leadership dans l’intégration de la gestion des risques dans les principales activités commerciales et la prise de décision.
La détermination des responsabilités ainsi que l’obligation d’être redevable si nécessaire.
Disponibilité des ressources nécessaires. Comment gérer les objectifs conflictuels. Révision et amélioration de l’analyse des risques.
De plus, conformément à ce qui précède, l’engagement envers la gestion des risques doit être communiqué à toute l’organisation ainsi qu’aux parties intéressées/affectées de manière appropriée, assurant une communication globale avec la plus grande transparence possible.
4. CHAMP D’APPLICATION DE L’ANALYSE ET DE LA GESTION DES RISQUES
AK ORAL ESTUDIO, S.L.P doit déterminer les limites et l’applicabilité de l’analyse et de la gestion des risques dans le domaine des Services de la Société de l’Information et du Commerce Électronique et ainsi établir son champ d’application.
De même, il est essentiel et fondamental que la direction de l’organisation soit pleinement impliquée sans réserve dans le processus de conduite de l’analyse et de la gestion des risques dans le domaine des Services de la Société de l’Information et du Commerce Électronique, dans le but de détecter, corriger, gérer, etc., les risques liés à la conformité réglementaire et ainsi atteindre les objectifs et jalons définis, en menant le processus avec une attitude engagée et évidente qui permette d’adopter une culture de conformité au sein de l’organisation.
D’autre part, conformément aux paragraphes précédents, le champ réglementaire des mesures et/ou contrôles prévus dans le cadre de l’Analyse des Risques vise à ce qu’AK ORAL ESTUDIO, S.L.P dispose des outils appropriés pour se conformer aux réglementations suivantes :
Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 concernant certains aspects juridiques des services de la société de l’information, en particulier le commerce électronique dans le marché intérieur.
Loi organique 34/2002 du 11 juillet, sur les services de la société de l’information et le commerce électronique.
Guide sur l’utilisation des cookies. AEPD, juin 2022.
Loi 9/2014 du 9 mai, Loi générale des télécommunications.
Loi 7/1996 du 15 janvier, sur la régulation du commerce de détail.
Décret royal législatif 1/2007 du 16 novembre, approuvant le texte consolidé de la Loi générale pour la défense des consommateurs et usagers et autres lois complémentaires.
Loi 56/2007 du 28 décembre sur les mesures pour promouvoir la société de l’information. Loi 7/1998 du 13 avril sur les conditions générales de la contractualisation.
Loi 3/2014 du 27 mars modifiant le texte consolidé de la Loi générale pour la défense des consommateurs et usagers et autres lois complémentaires.
5. MÉTHODOLOGIE DE L’ANALYSE ET DE LA GESTION DES RISQUES
L’analyse et la gestion des risques correspondent à la première phase qu’une organisation doit réaliser pour améliorer sa sécurité dans le domaine des Services de la Société de l’Information et du Commerce Électronique.
Il convient de noter qu’un processus d’analyse et de gestion des risques fournit des informations et non une mesure ou un contrôle de sécurité en tant que tel. Autrement dit, réaliser l’action ou le processus en lui-même ne protégera pas AK ORAL ESTUDIO, S.L.P de subir des incidents de sécurité et/ou des non-conformités en matière de Services de la Société de l’Information et du Commerce Électronique, mais permettra d’identifier les menaces et vulnérabilités auxquelles l’organisation sera exposée.
Dans tous les cas, il est clair qu’il sera beaucoup plus facile pour l’entité de se protéger des situations présentant un risque plus élevé si elle identifie, analyse et gère correctement les risques potentiels auxquels elle est exposée dans le domaine des Services de la Société de l’Information et du Commerce Électronique.
À l’heure actuelle, il existe différentes méthodologies pour réaliser l’analyse et la gestion des risques. Chacune possède des caractéristiques, avantages et inconvénients différents, mais elles sont toutes fondées sur des processus très similaires et travaillent sur les mêmes éléments.
De plus, en fonction des objectifs à atteindre, de l’approche et de la portée de l’analyse elle-même, ainsi que des risques auxquels l’organisation est soumise, chaque entité choisira une méthodologie spécifique d’analyse et de gestion des risques.
Tout cela doit être relié au fait que les risques peuvent varier, tant en ce qui concerne la probabilité que la gravité. Par conséquent, lors de la sélection et de l’application des mesures techniques et organisationnelles, il faut prendre en compte :
La probabilité que la situation mettant l’organisation en risque se produise.
La gravité des conséquences si la situation mettant l’organisation en risque se produit.
AK ORAL ESTUDIO, S.L.P a réalisé une estimation du niveau ou zone de risque global lorsque, en raison de sa nature, ils peuvent être combinés. L’identification et l’analyse des risques doivent permettre de déterminer s’il existe un risque élevé et si les mesures prévues l’atténuent ou, au contraire, s’il est incontrôlé.
Pour ce faire, une fois qu’AK ORAL ESTUDIO, S.L.P a identifié toutes les mesures initialement prévues, elle évaluera la probabilité et la gravité que le risque se produise. Cela fournit des informations sur le niveau de risque initial de chaque Scénario de Risque Potentiel (ci-après, PRS) et, si nécessaire, de chaque groupe de risques, et permettra d’élaborer un scénario de risque initial qui les évalue en relation avec la formule de quantification des risques (RISQUE = Probabilité x Gravité) et d’adopter ainsi des mesures correctrices permettant à l’organisation de gérer et/ou traiter les risques.
ÉVALUATION DE LA PROBABILITÉ
AK ORAL ESTUDIO, S.L.P a principalement considéré deux critères généraux : d’une part, comment les mesures prévues peuvent réduire la probabilité et, d’autre part, la fréquence à laquelle le scénario de risque potentiel s’est produit auparavant.
Une situation à risque est peu probable lorsqu’il y a plusieurs mesures prévues en tant que « lignes de défense », c’est-à-dire que si l’une échoue, il y en a toujours une autre empêchant l’événement indésirable.
Une situation à risque est peu probable mais possible lorsqu’il y a plusieurs mesures prévues en tant que « lignes de défense », c’est-à-dire que si l’une échoue, il y en a une autre pouvant empêcher l’événement indésirable, mais pas dans tous les cas.
Une situation à risque est probable lorsqu’il n’y a pas de mesures prévues pour réduire la probabilité en tant que « lignes de défense », c’est-à-dire que si l’une échoue, les autres ne peuvent pas empêcher l’événement indésirable.
Une situation à risque est très probable lorsqu’une seule mesure pour réduire sa probabilité a été prévue et qu’il existe au moins un cas connu où l’événement indésirable s’est produit. La combinaison de ces facteurs rend ce scénario de risque potentiel très probable.
Une situation à risque est imminente lorsqu’aucune mesure n’a été prévue pour réduire sa probabilité et qu’il existe plusieurs cas connus où l’événement indésirable s’est produit. La combinaison de ces facteurs nous fait considérer que, de manière imminente, des actions pourraient être affectées par ce scénario de risque potentiel.
Voici un résumé des critères pris en compte par AK ORAL ESTUDIO, S.L.P pour l’évaluation des risques dans le domaine des Services de la Société de l’Information et du Commerce Électronique en lien avec la probabilité.
PROBABILITÉ
Description
Peu probable
Peu probable mais possible
Probable
Très probable
Imminent
Plusieurs mesures prévues
•
•
Quelques mesures prévues
•
Une seule mesure prévue
•
Aucune mesure prévue
•
Toutes les mesures forment une ligne de défense
•
Quelques mesures forment une ligne de défense
•
Les mesures ne forment pas une ligne de défense
•
L’événement indésirable ne s’est jamais produit auparavant
•
•
L’événement indésirable s’est produit auparavant
•
•
L’événement indésirable s’est produit plusieurs fois auparavant
•
ÉVALUATION DE LA GRAVITÉ
AK ORAL ESTUDIO, S.L.P a principalement pris en compte les dommages matériels ou moraux que le risque pourrait causer aux personnes concernées, ainsi que la privation de leurs droits ou libertés.
Une situation à risque sera considérée comme négligeable lorsqu’elle ne cause pas de dommages matériels, immatériels ou moraux à l’organisation ou aux personnes concernées, ni ne les prive de leurs droits ou libertés. Par conséquent, les conséquences se concentrent sur des insuffisances formelles mineures avec des effets pratiquement imperceptibles, généralement liées aux obligations matérielles de l’entité, et peuvent être corrigées avec des mesures facilement mises en œuvre.
Une situation à risque sera considérée comme mineure lorsqu’elle ne cause pas de dommages matériels, immatériels ou moraux à l’organisation ou aux personnes concernées, ni ne les prive de leurs droits ou libertés. Par conséquent, les conséquences se concentrent sur des insuffisances matérielles mineures avec des effets minimaux, généralement liées aux obligations matérielles de l’entité, qui peuvent être corrigées avec des mesures facilement mises en œuvre.
Une situation à risque sera considérée comme grave lorsqu’elle peut causer des dommages matériels, immatériels ou moraux à l’organisation ou aux personnes concernées, difficiles à réparer ou pouvant partiellement priver leurs droits ou libertés. Par conséquent, les conséquences portent sur des insuffisances de conformité réglementaire qui peuvent être corrigées en mettant en œuvre ou en améliorant l’efficacité des mesures existantes.
Une situation à risque sera considérée comme significativement grave lorsqu’elle peut causer des dommages matériels, immatériels ou moraux à l’organisation ou aux personnes concernées, difficiles à réparer ou pouvant totalement priver leurs droits ou libertés. Par conséquent, les conséquences portent sur des insuffisances de conformité réglementaire qui peuvent être corrigées en mettant en œuvre de nouvelles mesures ou en améliorant les mesures existantes, bien que cela implique certaines difficultés pour l’entité.
Une situation à risque sera considérée comme extrêmement grave lorsqu’elle peut causer des dommages matériels, immatériels ou moraux à l’organisation ou aux personnes concernées, impossibles à réparer ou pouvant totalement priver leurs droits ou libertés. Par conséquent, les conséquences portent sur des insuffisances de conformité réglementaire pour lesquelles il n’existe pas de mesures à mettre en œuvre ou, le cas échéant, nécessitent des efforts disproportionnés de la part de l’entité.
Voici un résumé des critères pris en compte par AK ORAL ESTUDIO, S.L.P pour l’évaluation des risques dans le domaine des Services de la Société de l’Information et du Commerce Électronique en lien avec la gravité.
GRAVITÉ
Description
Négligeable
Mineure
Grave
Significativement Grave
Extrêmement Grave
Pas de dommages ou préjudices
•
•
Quelques dommages ou préjudices
•
•
•
Les dommages ou préjudices sont difficiles à réparer
•
•
Les dommages ou préjudices sont impossibles à réparer
•
Pas de privation des droits ou libertés
•
•
Il y a privation des droits ou libertés
•
•
Il y a privation totale des droits et libertés
•
Implique une insuffisance formelle mineure
•
Implique une insuffisance matérielle mineure
•
Les obligations matérielles ne sont pas remplies
•
•
Les obligations relatives aux droits et principes ne sont pas remplies
•
•
•
Les mesures peuvent être facilement mises en œuvre
•
•
Les mesures peuvent être mises en œuvre
•
Les mesures sont difficiles à mettre en œuvre
•
Les mesures nécessitent des efforts
•
MATRICE DES SCÉNARIOS DE RISQUES POTENTIELS
Afin de déterminer graphiquement la situation de contrôle des risques identifiés en matière de Services de la Société de l’Information et du Commerce Électronique, en tenant compte de l’évaluation de la probabilité et de la gravité détaillée dans les sections précédentes de ce document, AK ORAL ESTUDIO, S.L.P utilisera la matrice suivante pour établir si les risques sont non contrôlés, atténuables, tolérables, acceptables ou contrôlés :
Les scénarios de risque potentiels évalués avec un niveau supérieur à 2 doivent être considérés comme des risques inacceptables et, par conséquent, des mesures doivent être appliquées pour réduire ce niveau de risque.
Lorsque le niveau est égal à 2, le risque est tolérable, mais il faut insister sur l’efficacité des mesures prévues. Par conséquent, il convient de traiter ces risques afin d’essayer de les faire baisser de niveau.
Lorsque le niveau est inférieur à la valeur 2, le risque est acceptable, car les activités de l’organisation sont réalisées dans des conditions de risques raisonnablement contrôlés. Nous devons rester attentifs aux éventuelles variations de ce risque et revoir l’efficacité des mesures mises en place, mais du point de vue de l’analyse des risques, il n’est pas nécessaire de les traiter.
Pour ce faire, AK ORAL ESTUDIO, S.L.P utilise une échelle de valeurs qui permet de définir aussi précisément que possible le niveau de risque évalué.
AK ORAL ESTUDIO, S.L.P utilise une échelle de 1 à 5 pour déterminer le scénario de risque potentiel.
Ensuite, afin de montrer graphiquement le contenu des actions menées dans le rapport d’Analyse et gestion des risques, le diagramme de flux suivant du rapport mentionné est présenté :
6. SCÉNARIOS DE RISQUES POTENTIELS
AK ORAL ESTUDIO, S.L.P a pris en compte l’énumération suivante des scénarios de risques potentiels spécifiques (ci-après, PRS) en matière de Services de la Société de l’Information et du Commerce Électronique.
Il s’agit d’une liste de situations à risque pouvant apparaître sur les sites web appartenant à AK ORAL ESTUDIO, S.L.P et/ou dans les communications publicitaires réalisées par celle-ci. Ces scénarios sont également structurés selon qu’ils concernent les communications publicitaires et, dans le contexte d’un site web, s’ils concernent la politique de cookies, l’avis légal/conditions d’utilisation, la politique de confidentialité, la sécurité du site web ou les obligations découlant du commerce électronique.
Voici la base des scénarios de risques potentiels spécifiques que AK ORAL ESTUDIO, S.L.P a pris en compte en matière de Services de la Société de l’Information et de Commerce Électronique :
SERVICES DE LA SOCIÉTÉ DE L’INFORMATION ET COMMERCE ÉLECTRONIQUE
Scénarios de risque pouvant affecter les COMMUNICATIONS PUBLICITAIRES
Code
Description
RCP.01
Le consentement exprès et préalable des destinataires n’est pas demandé pour réaliser des communications publicitaires électroniques
RCP.02
Difficulté à révoquer le consentement ou à exercer le droit d’opposition à recevoir des communications publicitaires et/ou des envois promotionnels
RCP.03
Les utilisateurs du site web ne sont pas informés de la collecte de données dans les formulaires à des fins de publicité commerciale
Scénarios de risque pouvant affecter la POLITIQUE DE COOKIES
Code
Description
RPC.01
Absence de politique de cookies
RPC.02
Pas d’information sur l’utilisation des cookies et/ou absence de consentement pour leur installation et utilisation (usage de cookies non exemptés) ni des mécanismes de désactivation ou de suppression
Scénarios de risque pouvant affecter l’AVIS LÉGAL
Code
Description
RAL.01
Absence d’un avis légal adéquat
RAL.02
L’avis légal n’est ni visible ni facilement accessible pour l’utilisateur
Scénarios de risque pouvant affecter la POLITIQUE DE CONFIDENTIALITÉ
Code
Description
RPP.01
Absence de politique de confidentialité
RPP.02
Au moment de la collecte des données dans les formulaires du site web, les informations minimales sur le traitement des données ne sont pas fournies
Scénarios de risque pouvant affecter la SÉCURITÉ
Code
Description
RSPW.01
Non-respect de la réglementation générale sur les Services de la Société de l’Information et le Commerce Électronique
RSPW.02
Absence de plan de formation en matière de Services de la Société de l’Information et du Commerce Électronique
RSPW.03
La relation avec les responsables du traitement n’a pas été formalisée correctement
RSPW.04
L’organisation ignore les procédures pour répondre à l’exercice des droits
RSPW.05
Incapacité à détecter et gérer les incidents affectant la sécurité des données
RSPW.06
Absence de mesures de sécurité appropriées
RSPW.07
Les mesures adoptées ne sont pas vérifiées
Scénarios de risque pouvant affecter le COMMERCE ÉLECTRONIQUE
Code
Description
RCE.01
Absence de conditions générales de vente
RCE.02
L’organisation ne dispose pas de mécanismes de paiement simples et sécurisés
RCE.03
Informations claires sur les prix des produits/services/réservations proposés sur le site web non fournies
RCE.04
Absence de confirmation de la réception de l’acceptation
RCE.05
Pas d’informations sur l’existence (ou non) du droit de rétractation
RCE.06
Le délai de garantie n’est pas indiqué au client
RCE.07
Absence de matériels de réparation des produits
7. ANALYSE DES RISQUES EN MATIÈRE DE SERVICES DE LA SOCIÉTÉ DE L’INFORMATION ET DU COMMERCE ÉLECTRONIQUE
Actuellement, AK ORAL ESTUDIO, S.L.P ne dispose pas de site web ni ne réalise de communications publicitaires, cette section ne s’applique donc pas. Si un site web est mis à disposition ou des communications publicitaires électroniques sont réalisées, il faudra contacter PROFESSIONAL GROUP CONVERSIA SLU pour mettre à jour la documentation.
8. CONCLUSIONS ET RECOMMANDATIONS
Actuellement, AK ORAL ESTUDIO, S.L.P ne dispose pas de site web ni ne réalise de communications publicitaires, cette section ne s’applique donc pas. Si un site web est mis à disposition ou des communications publicitaires électroniques sont réalisées, il faudra contacter PROFESSIONAL GROUP CONVERSIA SLU pour mettre à jour la documentation.
