
L’article 34 de la loi informatique et libertés stipule que : » Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Avant d’évaluer les risques, il est important de s’assurer que la collecte de données s’est faite en respectant certain aspects que nous avons eu à aborder dans l’un de nos précédents articles.
Pour garantir la sécurité des données personnelles dont l’organisme a la charge , il revient au responsable du fichier d’idendifier au préalable les risques sur la vie des personnes dont les données sont détenues en cas de fuite ou de perte de données. Après cette étape d’identification des risques, pourront être déterminés les moyens adéquats pour les réduire ou les minimiser. Dans ce cadre et pour l’évaluation du niveau de sécurité des données personnelles, la CNIL (Commission Nationale de l’Informatique et des Libertés) a public un guide sur la sécurité des données personnelles. Ce guide est présenté sous forme de fiches thématiques mettant en lumière les précautions élémentaires à mettre en place pour améliorer la sécurité d’un traitement de données à caractère personnel. Il atteint cependant ses limites lorsqu’il s’agit d’étudier des traitements complexes ou aux risques élevés.
Ce qu’il faut retenir: Une identification et une évaluation des risques sont des étapes primordiales avant le choix des moyens de sécurisation des données.
Nous avons eu à publier un article sur l’analyse d’Impact mettant en avant les destinataires de cette analyse, les acteurs qui y intervenaient ou encore les intérêts que présentaient une telle analyse.
Avant d’aborder l’analyse d’Impact, il faut se poser une série de questions telle qu’exposé sur le site www.cnil.fr . Les bonnes questions à se poser sont listées comme suit:
d’accès illégitime ? de modification non désirée ? de disparition ? Est-ce grave ?
En rappel l’analyse d’impact relative à la protection des données (AIPD) est un outil d’évaluation d’impact sur la vie privée. Une AIPD repose sur 2 piliers :
1- les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
2- la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.
Ce qu’il faut retenir: L’AIPD un outil de choix dans un processus de sécurisation des données.
Quelle différence existe t-il entre sécurité de l’information et protection de la vie privée ? Les deux suivent des logiques complémentaires. L’objectif de la sécurité de l’information est de protéger l’organisme des atteintes liées à son patrimoine informationnel. Celui de la protection de la vie privée est de protéger les personnes des atteintes liées à leurs données. Un article sur la protection des données personnelles a été, il y a quelques semaines, publié sur notre blog.
Pour garantir la sécurité des données, une démarche en quatre étapes essentielles doit être entreprise :
Le suivi de cette approche par les entreprises leur permet d’assurer une prise en compte optimale de la protection des données personnelles dans le cadre de leurs activités.
Par ailleurs, le catalogue de bonnes pratiques aide à déterminer des mesures proportionnées aux risques identifiés, en agissant sur :
-les « éléments à protéger » : minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits…
-les « impacts potentiels » : sauvegarder les données, tracer l’activité, gérer les violations de données…
-les « sources de risques » : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…
-les « supports » : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…
Pour sécuriser les données, cinq leçons à retenir sur www.village-justice.com
Dans les différents cas soumis à la CNIL, on peut recenser notamment :
– L’absence de mise en place de dispositif permettant d’éviter la prévisibilité des URL ;
– L’absence de procédure d’identification ou d’authentification des utilisateurs (par exemple, un site internet qui n’intègre pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant d’accéder aux documents) ;
– L’absence de test de vulnérabilité des sites internet en amont (en vérifiant par exemple, que leur mise en production avait été précédée d’un protocole complet de test).
Le RGPD instaure une logique de protection des données dès la conception et par défaut. Par conséquent, dès la conception d’outils ou systèmes informatiques, il est recommandé de suivre les démarches élémentaires suivantes :
– Vérifier les règles de filtrage des URL (par exemple, la modification d’un mot présent dans l’URL) ;
– En cas de connexion à distance au réseau informatique interne d’une entreprise, a minima, mettre en place des mesures de filtrage des adresses IP pour autoriser seulement des adresses IP identifiées et autorisées, ou alors utiliser un VPN ;
– Envisager de mettre en place une procédure d’identification ou d’authentification des utilisateurs du site web pour protéger les informations enregistrées (par exemple, téléversement de document ;
– En cas d’authentification par un utilisateur, les identifications ne doivent pas être divulguées ni stockées dans un fichier non protégé ;
– Pour les mots de passe, suivre scrupuleusement la délibération n°2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe de la CNIL (identifiant unique par utilisateur, mot de passe complexe, changements de mot de passe réguliers, verrouillage du compte après plusieurs échecs, …) ;
– Pour les accès aux postes de travail, paramétrer le verrouillage automatique en cas d’inactivité ; installer un « pare-feu », utiliser des antivirus régulièrement mis à jour (…) ;
– En cas de recours à des prestataires, vérifier les caractéristiques des produits, outils et systèmes informatiques.
Dans la plupart des décisions rendue par la CNIL, l’autorité souligne l’importance d’effectuer des vérifications régulières des mesures de sécurité mises en place par le responsable de traitement.
Concrètement, ces vérifications doivent être effectuées en amont, lors de la mise en production et après le déploiement des outils et/ou systèmes ou sites internet. Finalement, il s’agit pour les responsables de traitement de tester les mesures mises en place tout au long du processus. D’où le terme de vérifications « régulières».
Lorsque des opérations de traitement de données sont confiées à des sous-traitants, cela ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte. En effet, le responsable de traitement doit s’assurer et vérifier que toutes les composantes et options de l’outil ou du système par le prestataire répondent à des mesures de sécurité conformes au RGPD.
Avant la violation des données, il est de la responsabilité du responsable de traitement de procéder aux vérifications des caractéristiques du produit (standard) retenu auprès de son prestataire.
Après la violation des données, dans ses relations avec des sous-traitants, il est recommandé au responsable de traitement de jouer un rôle actif et d’être en mesure de justifier les demandes relatives aux mesures correctives auprès de son sous-traitant. Ces demandes doivent être quotidiennes et exister avant et tout au long de la faille.
La logique « d’accountability » du RGPD impose au responsable de traitement de documenter pour démontrer la conformité . Pour contrôler la sécurité des outils et systèmes informatiques, la CNIL invite à procéder à des protocoles complets de tests et des audits. A titre d’exemple, à propos de ligne qui compose un code informatique d’un site web, une « attention particulière doit être portée au mécanisme d’authentification et nécessite alors une revue manuelle du code ».
D’autres documents peuvent également aider à contrôler la sécurité des outils tels que le registre des traitements, les analyses d’impact, les divers contrats et avenants avec vos prestataires. Plus largement, le RGPD prévoit des outils méthodologiques tels que les certifications, labels ou codes de bonne conduite dont l’application peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement et qui pourront également être pris en compte par l’autorité de contrôle en cas de procédure contentieuse .
Sécuriser et protéger les données traitées, et plus généralement le processus de mise en conformité au RGPD semble complexe.
Ce qu’il faut retenir: Une démarche clairement définie soutenue par un ensemble de mesures techniques et procédurales facilitent la sécurisation des données.
contact@cloudlyyours.com
12 Avenue des Marronniers,
91420, Morangis, France
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.