Renforcer la sécurité pour assurer la conformité au RGPD

Un nouveau guide de sécurité des données personnelles édité par la CNIL

À quatre mois tout juste de l’entrée en application du Règlement général sur la protection des données (RGPD), la CNIL poursuit sa mission d’accompagnement concernant la mise en conformité au texte européen.

En effet, le 23 janvier 2018, la gardienne française des données personnelles a publié un nouveau guide consacré à la sécurité des données personnelles, sécurité que le Règlement européen souhaite conforter et maximiser. C’est l’article 32 qui rappelle que les responsables de traitement « mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque« .

 

Le problème est que le risque zéro en matière de sécurité n’existe pas.
Fort de ce constat, l’obligation de sécurisation des données, de longue date affirmée par la loi Informatique et Libertés dans son article 34, est de moyens et non de résultat car il est inconcevable de garantir une protection à 100%, malheureusement.
Mais il s’agit d’inciter les acteurs à tout faire pour approcher au plus près ce taux inatteignable.

 

La sécurité des données personnelles stockées dans les data centers.

 

D’autant plus que le Règlement européen introduit de nouvelles obligations de notification de communication en cas de violation de données personnelles à la CNIL et, dans certains cas, aux personnes victimes elles-mêmes !
Ce système n’est pas une nouveauté, il avait été introduit par la transposition en droit français d’une directive européenne de novembre 2009 mais ne concernait que les fournisseurs d’accès à l’internet (article 34bis de la loi Informatique et Libertés).

À partir du 25 mai 2018, cette obligation est étendue à tous les responsables de traitement ! L’article 33 du Règlement européen énonce ainsi qu’ « en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle [la CNIL, ndlr] dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance« .
Surtout, l’article suivant exige que, selon certaines modalités, « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais« … Attention donc !

 

Anticiper les risques de sécurité permet de diminuer la violation des données personnelles de tiers.

 

Ce qui compte pour garantir la sécurité des données personnelles, c’est l’appréhension et la gestion des risques. En effet, dans le meilleur des mondes, le responsable d’un traitement doit réfléchir à la sensibilité des données qu’il traite et la gravité potentielle pour les utilisateurs en cas de fuite ou de piratage.
A ce sujet, le PIA, l’étude d’impact sur la vie privée, est une bonne méthode pour parvenir à cette anticipation.

 

Dans le guide édité par la CNIL, l’autorité de contrôle française résume le travail de sécurisation en 4 étapes :

  1. recenser les traitements,
  2. apprécier les risques,
  3. mettre en œuvre et vérifier les mesures prévues,
  4. faire réaliser des audits de sécurité périodiques,

 

… et fournit 17 fiches pratiques :

  1. Sensibiliser les utilisateurs
  2. Authentifier les utilisateurs
  3. Gérer les habilitations
  4. Tracer les accès et gérer les incidents
  5. Sécuriser les postes de travail
  6. Sécuriser l’informatique mobile
  7. Protéger le réseau informatique interne
  8. Sécuriser les serveurs
  9. Sécuriser les sites web
  10. Sauvegarder et prévoir la continuité d’activité
  11. Archiver de manière sécurisée
  12. Encadrer la maintenance et la destruction des données
  13. Gérer la sous-traitance
  14. Sécuriser les échanges avec d’autres organismes
  15. Protéger les locaux
  16. Encadrer les développements informatiques
  17. Chiffrer, garantir l’intégrité ou signer

 

Le guide est à télécharger ICI. Pour en savoir plus, l’article complet de présentation du document est à lire ICI.

Partager cet article :

Articles connexes

Réagir