Le RGPD et sécurité

Aide au RGPD : David Campagne vous accompagne : 

Précédemment, j’ai eu l’opportunité de vous expliquer comment :

  • recenser et cartographier les données personnelles que vous traitez
  • analyser ces traitements au regard des principes du RGPD
  • savoir si vos principaux outils de communication sont utilisés conformément aux
    obligations et aux droits des personnes concernées.

Aujourd’hui, je vais mettre l’accent sur un autre point très important : la sécurité. En effet, des menaces et des risques pèsent sur les données personnelles, leur confidentialité, leur intégrité……. Le RGPD précise que la protection des données personnelles nécessite de prendre des «mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

Pour réaliser ce travail, il va vous falloir respecter 4 étapes.

  1. recenser les différents types de supports sur lesquels reposent des données
    personnelles
  2. identifier les menaces qui pèsent sur ces différents supports
  3. évaluer les risques qui pèsent sur ces supports, leurs conséquences potentielles
  4. mettre en place les mesures de sécurité adaptées

Recenser les supports de données personnelles

Il s’agit de répertorier l’ensemble des supports et systèmes d’informations sur lesquels reposent les données personnelles que vous traitez. Ici, vous devrez vous poser les questions suivantes :

  • Quels matériels informatiques utilisez-vous (ordinateurs, clés USB, tablettes, disques durs, téléphones…..)
  • Avec quels logiciels travaillez-vous (systèmes d’exploitation, messagerie, applications métiers PMS, CRM….)
  • Quelles sont les personnes amenées à traiter des données (utilisateurs, administrateurs,….)
  • Quels sont les supports papiers que vous utilisez (photocopies carte identité, formulaires, check in….)

Identifier les menaces

Cette seconde étape vous demande d’identifier support par support, source par source, les évènements qui pourraient engendrer une conséquence sur les données personnelles de vos clients ou salariés.

En effet, les menaces existent dans la mesure où les supports des données personnelles peuvent être :

  • utilisés de manière inadaptée (ex : erreur de saisie, de manipulation, d’envoi de mail….)
  • observés (ex : récupération du code carte bleue d’un client lors de la saisie….)
  • modifiés (ex : piégeage d’un logiciel ou matériel, installation logiciel malveillant)
  • perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) …..

Ainsi, à titre d’exemples, les menaces peuvent être :

  • Une intrusion physique dans les locaux
  • La perte ou le vol d’un ordinateur portable ou d’une tablette
  • L’intrusion extérieure dans le réseau
  • La gestion défaillante des droits d’accès
  • L’usurpation d’identité d’un compte utilisateur / administrateur
  • L’export des données
  • L’interception d’échanges…

Evaluer les risques qui pèsent sur ces supports, leurs conséquences potentielles

Une fois ces menaces identifiées, il vous faut identifier les risques potentiels sur les droits et libertés des personnes concernées si 3 évènements différents venaient à se produire.

Quelles seraient les conséquences si les données personnelles de vos clients :

1/ devenaient accessibles de manière illégitime : un concurrent réussit, directement ou indirectement, à s’introduire dans votre établissement ou votre réseau et récupère votre fichier client ou votre politique tarifaire….

2/ subissaient une modification non désirée : vous mélangez par erreur les données de plusieurs fichiers et des informations

3/ disparaissaient : les données stockées et archivées ne sont plus accessibles.

Vous devrez ensuite apprécier les risques engendrés par chaque traitement.

Je vous recommande ici de créer une check-list où vous reporterez pour chaque support l’ensemble des menaces.  Et pour chaque menace, vous évaluerez :

  • le degré de vraisemblance de réalisation (la probabilité de réalisation est-elle négligeable, limitée, importante, maximale ?)
  • et le degré de gravité du risque (est-il négligeable, limité, important, maximal ?)

Il conviendra alors en priorité de traiter les menaces dont les risques de réalisation sont très vraisemblables et dont les conséquences pourraient être très graves.

Déterminer les mesures qui permettent de traiter chaque risque

(ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation….).

Ces mesures peuvent être techniques et organisationnelles et doivent être appropriées pour garantir un niveau de sécurité approprié. Ces mesures peuvent être de nature différente et consister à :

  1. Sensibiliser les utilisateurs (Informer et sensibiliser les personnes manipulant les données…
  2. Authentifier les utilisateurs (Définir un identifiant (login) unique à chaque utilisateur…)
  3. Gérer les habilitations        (Définir des profils d’habilitation….)
  4. Tracer les accès et gérer les incidents (Prévoir un système de journalisation, qui permet de savoir ce qui a été fait, par qui, quand ….)
  5. Sécuriser les postes de travail (Prévoir une procédure de verrouillage automatique de session…)
  6. Sécuriser l’informatique mobile (Prévoir des moyens de chiffrement des équipements mobiles…)
  7. Sauvegarder et prévoir la continuité d’activité (Effectuer des sauvegardes régulières…)
  8. Archiver de manière sécurisée (Mettre en œuvre des modalités d’accès spécifiques aux données archivées…)
  9. Sécuriser les échanges avec d’autres organismes (Chiffrer les données avant leur envoi…)
  10. Protéger les locaux
  11. Utiliser des fonctions cryptographiques
  12. Protéger le réseau informatique interne
  13. Sécuriser les serveurs
  14. Sécuriser les sites web

Une check-list des bonnes pratiques en matière de données des données est accessible ici.

https://www.rgpdchr.fr/wp-content/uploads/2019/03/Evaluation-sécurité-RGPD-1.pdf

Il vous appartient de faire le nécessaire au regard des enjeux de la protection des données pour votre établissement et des risques que vous aurez identifiés et évalués en fonction de votre situation et de votre organisation. Il ne vous est pas demandé de devenir paranoïaque non plus.

Si des mesures de sécurité sont déjà en place dans votre établissement, testez les, vérifiez qu’elles sont bien appliquées par votre équipe et qu’elles soient bien efficaces.

Sinon, mettez en œuvre les mesures qui vous paraissent appropriées et surtout, n’oubliez pas de contrôler régulièrement leur application par vos équipes et leur efficacité. Ce travail, vous pouvez le faire en partie vous-même. Sur des sujets trop techniques, n’hésitez pas à faire réaliser pas des sociétés sérieuses et pérennes des audits de sécurité périodiques.

David Campagne

David Campagne

Partenaire Reservit - Expert CHR et RGPD