La sécurité étant un élément indispensable au traitement des données personnelles, les entreprises sont tenues de mettre en œuvre les dispositifs nécessaires à cet effet. La Commission nationale de l’informatique et des libertés (CNIL) a détaillé l’ensemble des étapes à suivre pour être en conformité avec la législation. Découvrons l’ensemble de ces préconisations.
Qui assure la sécurité des données personnelles ?
Le Règlement général sur la protection des données personnelles (RGPD) est le texte de référence en matière de protection des personnes dans le traitement de leurs données. Adopté définitivement le 27 avril 2016, il s’applique à l’ensemble des pays de l’Union européenne depuis le 25 mai 2018.
Pour assurer le respect du RGPD et de manière plus globale la protection des données personnelles des personnes, les Etats de l’Union européenne sont dotés d’autorités de protection des données. Ces autorités publiques et indépendantes assurent un rôle de contrôle, de conseil et disposent d’un pouvoir de sanction en cas de manquements.
En France, l’autorité de protection des données est la Commission nationale de l’informatique et des libertés (CNIL).
Créée par la loi Informatique et Libertés du 6 janvier 1978, la CNIL est une autorité administrative indépendante agissant au nom de l'Etat.
Elle est composée d’un collège de 18 membres élus ou nommés et d’agents contractuels de l’Etat.
Pour assurer son rôle, la CNIL est investie de plusieurs missions :
- information générale et protection des droits (presse, web, etc.) ;
- accompagnement et conseil des entreprises dans la conformité ;
- anticipation et innovation du numérique ;
- contrôle et sanction des manquements.
Comment assurer la sécurité des données personnelles ?
Pour aider les entreprises à se conformer à la réglementation sur le traitement des données personnelles, la CNIL a délimité plusieurs étapes.
Piloter une stratégie de protection des données
La première étape pour assurer la protection des données est d’établir un cadre.
Il convient, dans un premier temps, de recenser les différents supports de traitement des données :
- ordinateurs, disques durs ;
- logiciels ;
- supports papier, etc.
Il convient, ensuite, de définir les mesures à prendre pour assurer la protection des données. Elles se traduisent par la mise en place d’une organisation complète pour assurer l’effectivité et le suivi de la protection des données.
Assurer un cadre pour les utilisateurs
En pratique, cette étape se traduit par la rédaction d’une charte informatique reprenant l’ensemble des bonnes pratiques à adopter pour les utilisateurs des données :
- les moyens informatiques mis en place ;
- les modalités d’utilisation des supports ;
- les règles de protection des données, etc.
Par ailleurs, une sensibilisation des utilisateurs à la protection des données personnelles est indispensable. En pratique, elle peut résulter de rappels réguliers sur le sujet, ou de la mise en place de séances d’informations sur les risques et les attaques, par exemple.
Cette sensibilisation doit se compléter d’une formation des utilisateurs à la sécurité informatique. Cette formation doit être effectuée en continue avec la diffusion de supports d’information
Enfin, il convient d’établir un système de sécurité des données à travers un mécanisme d’authentification des utilisateurs. Pour ce faire, l’accès aux supports de données ne peut être ouvert sans identifiant, mot de passe ou authentification biométrique telle qu’une empreinte digitale, par exemple.
Pour aller plus loin, il est également possible d’instaurer un système d’habilitations en limitant l’accès aux données sensibles à une catégorie de personnel, par exemple.
Sécuriser les supports de données personnelles
La protection optimale des données personnelles ne peut être assurée sans la sécurisation des supports de traitement de ces données.
Ces supports peuvent être l’objet d’utilisation frauduleuse et malveillante. Face aux risques grandissant de virus, et autres intrusions menaçantes, il est indispensable d’instaurer certains mécanismes de protection.
Ces mécanismes peuvent être les suivants :
- verrouillage automatique de session ;
- installation d’un pare-feu, un logiciel limitant l’extension des ports de communication ;
- mise en place d’un antivirus ;
- limitation de l’utilisation de supports mobiles tels que les clés USB, par exemple ;
- limitation de l’accès à distance des supports de travail, etc.
Concernant les supports mobiles, certaines précautions sont également nécessaires :
- mise en place de contrôle d’accès (mot de passe, empreinte digitale, VPN, etc.) ;
- sensibilisation des utilisateurs aux risques ;
- mise en place d’espaces de stockage partagés, etc.
Par ailleurs, pour limiter les intrusions telles que les piratages informatiques, il est important de sécuriser l’accès et l’usage d’Internet. Cette sécurisation peut se traduire par différents moyens :
- limitation de l’accès à Internet ;
- mise en place d’un VPN ;
- limitation des flux du réseau, etc.
Cette sécurisation doit également couvrir les sites web et passe notamment par la limitation de l’accès aux interfaces à des personnes habilitées ou du dépôt de cookies sans consentement de l’utilisateur, par exemple. Ces mécanismes de protection valent également pour les serveurs dont l’accès et l’utilisation doit être strictement encadrée.
La sécurité des serveurs est un sujet prioritaire dans le déploiement de la stratégie de protection des données personnelles car ils centralisent un très grand nombre de données.
De manière générale, la protection des données doit être prise en compte dès le début. Afin d'assurer une gestion maîtrisée et sécurisée des données, les mécanismes de protection doivent être intégrés dès la conception du service.
Sécuriser les données lors des échanges avec l’extérieur
Les supports permettant de transmettre des données avec l’extérieur requièrent une grande vigilance quant à leur manipulation (messagerie électronique, fax, etc.). Ils constituent des moyens de transmission peu sûrs et toute erreur peut avoir de grandes répercussions sur les données.
Afin d’assurer une protection optimale des données, il est important de renforcer la sécurité de ces supports. Pour ce faire, différents mécanismes peuvent être mis en place :
- usage restreint du fax avec accès aux seules personnes habilitées ;
- protocoles de confidentialité et d’authentification du serveur destinataire des données ;
- protection de la confidentialité des données secrètes telles que les mots de passe, par exemple.
Par ailleurs, en cas de sous-traitance, des garanties suffisantes doivent être assurées dans le traitement des données.
Il convient ainsi de prendre des précautions avant toute relation de sous-traitance.
En premier lieu, il est recommandé de faire appel à des sous-traitants fiables, disposant d’un système de sécurité des données suffisant.
Il est également recommandé d’établir un contrat spécifique fixant les termes en matière de traitement des données (confidentialité, règles de gestion des données, authentification, etc.).
Enfin, il est important d’assurer un suivi dans le cadre de cette sous-traitance.
De manière générale, l’entreprise doit garantir la sécurité de ses données à tout moment quelle que soit leur utilisation. Ainsi, en cas de manipulation externe telle que les opérations de maintenance, il convient d’encadrer l’accès aux données par les prestataires.
La protection des données peut s’effectuer de différente manières :
- suppression des données avant toute utilisation par le prestataire ;
- enregistrement des interventions de maintenance ;
- supervision des travaux de maintenance par une personne habilitée ;
- contractualiser le traitement des données par le prestataire afin d’obtenir une garantie juridique.
Gérer et traiter les incidents
En prévention de toute intrusion malveillante, utilisation abusive ou autre incident, il est nécessaire de disposer de moyens pour les identifier. Pour ce faire, il convient de mettre en place un système de traçage des différentes activités (interventions techniques, anomalies, etc.).
Il est également recommandé de tracer l’ensemble des opérations portant sur les données (consultation, modification ou suppression) et d’effectuer une analyse régulière pour détecter tout incident.
Par ailleurs, pour assurer une intervention appropriée en cas d’incident, une ligne de conduite doit être déterminée et transmise au personnel concerné :
- liste de contacts en cas d’incident ;
- conduite à tenir en cas d’anomalie ;
- qualification d’une violation des données ;
- traçabilité de toutes les violations ;
- processus de communication avec la CNIL en cas de violation ou risque avéré.
Assurer la sécurité des données des technologies émergentes
Le développement de technologies émergentes telles que les systèmes d’intelligence artificielle requiert la mise en place de mesures de sécurité spécifiques.
En effet, la complexité des ces systèmes ainsi que le volume important des données traitées renforce le risque en cas de défaillance.
Il est indispensable de se doter d’un système fiable et performant. Pour ce faire, les membres du personnel assurant le développement du système doivent disposer de compétences pluridisciplinaires et être formés continuellement sur les bonnes pratiques en matière de sécurité.
Ces systèmes doivent également être soumis à des tests de fiabilité et de sécurité (authentification et habilitation adaptées) pour éviter tout risque de manipulation des données par un tiers non autorisé.
Enfin, lorsque le système est mis à disponibilité des utilisateurs, il convient d’assurer sa protection face à toute tentative d’attaque.
Lire aussi : Les 6 réflexes pour se conformer au RGPD
Quelles sont les sanctions en cas de non-respect des obligations de sécurité ?
En cas de non-respect des règles de protection du traitement des données personnelles, les entreprises peuvent se voir infliger des amendes administratives par la CNIL. Cette commission dispose, en effet, d’un pouvoir répressif.
Le montant de ces amendes peuvent atteindre jusqu’à 4 % du chiffre d’affaires mondial.
Des sanctions pénales peuvent également être appliquées notamment en cas d’incident résultant de mesures de protection insuffisantes (divulgation des données privées telles que les noms et adresses des personnes concernées).
Enfin, des sanctions civiles peuvent être demandées par les victimes. Elles peuvent obtenir des dommages et intérêts en réparation du préjudice subi.