Mise en place des mesures de sécurité
Le Règlement Général sur la Protection des Données (RGPD) impose de mettre en place des mesures de sécurité afin de protéger les données à caractère personnel.
Découvrons ensemble comment procéder.
Pourquoi est-ce nécessaire ?
La mise en place de mesures de sécurité permet de préserver la sécurité des données mais aussi d’éviter une violation de ces données; c’est à dire d’empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Qui en est responsable ?
Les personnes responsables de la mise en place des mesures de sécurité pour respecter le RGPD sont le responsable du traitement et le sous-traitant.
Le traitement par un sous-traitant est régi par un contrat (…) qui lie le sous-traitant à l’égard du responsable de traitement. Ce contrat doit définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernés, et les obligations et les droits du responsable du traitement (RGPD art. 28.3).
Le RGPD interdit le recours à un autre sous-traitant par le sous-traitant sans accord écrit préalable du responsable de traitement : « Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements » (RGPD art. 28, § 2).
La démarche proposée par la CNIL pour la gestion du risque
Cette démarche, issue du Guide de la sécurité des données personnelles, disponible sur le site de la CNIL, se décompose en 5 étapes :
- Identifier les impacts potentiels sur les droits et libertés des personnes concernées pour les trois événements suivants :
- accès illégitime à des données (ex. : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise)
- modification non désirée de données (ex. : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès)
- disparition de données (ex. : non-détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient)
- Identifier les sources de risques
- Identifier les menaces réalisables
- Déterminer les mesures existantes ou prévues
- Estimer la gravité et la vraisemblance des risques
Quels sont les bons comportements à adopter ?
-
La sécurisation des outils informatiques :
- Maintenance et mise à jour régulière des logiciels
- Renouvellement périodique des mots de passe
- Mise en place d’antivirus
- Utilisation de comptes nominatifs
- Fiabilité de la source des fichiers ou applications téléchargés
-
La sécurisation des locaux :
- Mise en place d’une alarme
- Accès aux locaux par badge
- Pose de détecteurs de fumée
-
Bien choisir ses sous-traitants :
- Privilégier les prestataires domiciliés en France ou dans l’Union Européenne
- Rédiger un contrant délimitant leurs obligations et la procédure à suivre en cas de violation des données
- Faire une Analyse d’Impact à la Protection des Données (AIPD) est recommandée. Elle est obligatoire si le traitement des données présente un risque élevé pour les droits et libertés des personnes concernées, notamment pour :
- Des données de santé traitées par les établissements hospitaliers
- La vidéosurveillance sur des employés manipulant de l’argent
- Un dispositif de signalement des mineurs en danger
La CNIL met aussi à la disposition des responsables de traitement le logiciel PIA, pour leur permettre simplement et efficacement d’initier leur démarche de mise en conformité, en procédant à l’AIPD. Le logiciel intègre une interface de gestion de l’analyse d’impact étape par étape et inclut les aspects juridiques et techniques de la démarche.
De plus, ce logiciel présente l’avantage d’être publié sous licence libre, ce qui permet aux entreprises de l’adapter à leurs besoins et à leur fonctionnement.
