La sécurité des données personnelles

Recette RGPD Etape 7 : Dressez la table

Les actions à mener

1. Sensibiliser les utilisateurs

En tant que responsable de traitement des données personnelles, vous devez informer les utilisateurs des mesures prises pour traiter les risques.

Comment ?

En documentant les procédures d’exploitation et en rédigeant une charte informatique.

2. Authentifier les utilisateurs

Il est primordial de cloisonner les accès aux données et de les maîtriser.

Comment ?

En vous assurant qu’un utilisateur est doté d’un identifiant qui lui est propre et qu’il doit obligatoirement s’identifier avant toute utilisation des moyens informatiques. Il est également préconisé de limiter le nombre de tentatives d’accès aux comptes utilisateurs sur les postes de travail et d’imposer un renouvellement du mot de passe.

3. Gérer les habilitations

Ce point est central dans votre politique de sécurité des données. Il s’agit de limiter les accès aux seules données dont un utilisateur a besoin.

Comment ?

Les précautions de base à prendre sont de définir les profils d’utilisation afin de limiter les accès des utilisateurs aux seules données strictement nécessaires à leurs missions, et également de supprimer les permissions d’accès des utilisateurs notamment dès la fin de leur contrat. Attention : par exemple, il ne faut jamais laisser un nouveau salarié utiliser la licence d’accès d’un salarié qui a quitté la structure.

4. Tracer les accès et gérer les incidents

Vous avez pour responsabilité de pouvoir identifier un accès frauduleux ou une utilisation abusive de données personnelles.

Comment ?

En mettant en place un dispositif de gestion des traces et des incidents. Il faut alors prévoir un système de journalisation des activités des utilisateurs, des anomalies et des évènements liés à la sécurité.

5. Sécuriser les postes de travail

L’infogérance des postes de travail de l’ensemble de vos collaborateurs doit être au cœur de la réflexion de mise en conformité RGPD. En effet, les risques d’intrusion dans les systèmes informatiques sont importants et le principal point d’entrée est le poste de travail.

Comment ?

Certaines précautions élémentaires sont à prendre : mécanisme de verrouillage automatique de session, installation d’un « pare-feu », anti-virus et mises à jour régulières, sauvegarde régulière des espaces de sauvegarde et limitation de la connexion de supports mobiles.

6. Sécuriser l’informatique mobile

Les utilisateurs de nos jours multiplient les outils de communication (PC portables, clés USB, Smartphones) ce qui rend indispensable l’anticipation des vols ou pertes de ces équipements.

Comment ?

En sensibilisant les utilisateurs à ces risques via des procédures liées à l’utilisation d’outils informatiques mobiles, en mettant en œuvre des mécanismes maîtrisés de sauvegardes ou de synchronisation des postes nomades et en prévoyant des moyens de chiffrement de ces derniers.

7. Protéger le réseau informatique interne

Vous devez impérativement protéger votre réseau informatique interne et autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place.

Comment ?

En limitant les accès Internet, en gérant vos réseaux Wi-Fi et en imposant un VPN pour les accès à distance.

8. Sécuriser les serveurs

Il faut avoir conscience que les serveurs centralisent un grand nombre de données. C’est pour cette raison que la sécurité de ces derniers doit être votre priorité.

Comment ?

En limitant l’accès aux outils d’administration aux seules personnes habilitées, en adoptant une politique spécifique de mots de passe pour les administrateurs, en installant des mises à jour et en effectuant des sauvegardes.

9. Sécuriser les sites web

Votre rôle est de vous assurer des bonnes pratiques appliquées aux sites web.

Comment ?

En mettant en œuvre le protocole TLS sur tous les sites web, en limitant les ports de communication et si des cookies non nécessaires au service sont utilisés, il faut recueillir le consentement (par exemple : cookies Google Analytics utilisés pour les statistiques de fréquentation du site).

10. Sauvegarder et prévoir la continuité d’activité

Le cœur de votre politique de sécurité doit être de limiter les conséquences possibles en cas de disparition non désirée de données (effacement, vol…).

Comment ?

Pour cela, vous devez réaliser et tester régulièrement des sauvegardes et des copies de ces dernières : ces sauvegardes doivent être fréquentes, stockées sur un site extérieur et protégées au même titre que les serveurs d’exploitation. Nous vous conseillons de tester régulièrement la restauration des sauvegardes.

11. Archiver de manière sécurisée

Certaines données ne sont plus utilisées au quotidien et pour autant, n’ont pas atteint leur durée limite de conservation (ex : données pouvant être utilisées en cas de contentieux). Il convient alors de les archiver.

Comment ?

Les archives doivent être sécurisées à travers un processus de gestion des archives et par la mise en œuvre de modalités d’accès spécifiques à ces dernières. Se pose également la question de la destruction des archives : nous vous conseillons de choisir un mode opératoire garantissant que l’intégralité d’une archive a été détruite.

12. Encadrer la maintenance et la destruction des données

Vous devez vous assurer que les opérations de maintenance sont encadrées pour être en maîtrise de l’accès aux données par les prestataires externes.

Comment ?

Il est nécessaire d’enregistrer les interventions de maintenance dans une main courante et de supprimer de façon sécurisée les données des matériels avant leur mise au rebut.

13. Gérer la sous-traitance

Ce point a été abordé à l’étape 3 de notre recette RGPD, à savoir la rédaction d’un contrat avec les sous-traitants qui définit l’objet, la durée, la finalité du traitement et les obligations des parties.

14. Sécuriser les échanges avec d’autres organismes

Nombreux sont vos collaborateurs qui utilisent des messageries électroniques. Il faut avoir conscience que ce mode de communication n’est pas un moyen sûr. Il convient alors de renforcer la sécurité de toute transmission de données à caractère personnel.

Comment ?

Il est recommandé de chiffrer les données avant leur enregistrement sur un support physique à transmettre à un tiers. A titre d’exemple, vous devez utiliser un protocole garantissant la confidentialité et l’authentification du serveur destinataire pour les transferts de fichiers (ex : SPF ou HTTPS).

15. Protéger les locaux

Dans le cadre de votre politique de sécurité, la question de la sécurité des locaux hébergeant les serveurs informatiques et les matériels réseaux se pose. Il faut que l’accès aux locaux soit contrôlé.

Comment ?

En installant des alarmes anti-intrusion et en mettant en place des détecteurs de fumée ainsi que des moyens de lutte contre les incendies. Il est également vivement conseillé de protéger physiquement le matériel informatique par des moyens spécifiques comme par exemple la redondance d’alimentation électrique.

16. Encadrer les développements informatiques

Si vous êtes amené à effectuer des développements informatiques, la sécurité et la protection de la vie privée doivent être intégrés au plus tôt dans les projets, c’est-à-dire dès la conception.

Comment ?

En effectuant ces développements et tests dans un environnement informatique distinct de celui de la production (par exemple sur une réplication) et sur des données fictives ou anonymisées.

17. Chiffrer, garantir l’intégrité ou signer

Toute information doit se voir assurer son intégrité, sa confidentialité et son authenticité.

Comment ?

Les fonctions de hachage permettent d’assurer l’intégrité des données. Les signatures numériques permettent de vérifier l’origine de l’information et son authenticité. Et enfin, le chiffrement (cryptage), permet de garantir la confidentialité d’un message. Il est conseillé pour cela d’utiliser des algorithmes, des logiciels et des bibliothèques reconnues, et de conserver les secrets et les clés de manière sécurisée.