Comment Garantir La Sécurité Des Données?

L’Analyse d’Impact relative à la Protection des données

Nous avons eu à publier un article sur l’analyse d’Impact mettant en avant les destinataires de cette analyse, les acteurs qui y intervenaient ou encore les intérêts que présentaient une telle analyse.

Avant d’aborder l’analyse d’Impact, il faut se poser une série de questions telle qu’exposé sur  le site www.cnil.fr  . Les bonnes questions à se poser sont listées comme suit:

• Quels pourraient être les impacts sur les personnes concernées en cas :

   d’accès illégitime ?  de modification non désirée ?  de disparition ? Est-ce grave ?

• Comment chacun de ces scénarios pourrait-il arriver ?
• Est-ce vraisemblable ?
• Quelles mesures (de prévention, de protection, de détection, de réaction…) devrait-on prévoir pour réduire ces risques à un niveau acceptable ?

En rappel l’analyse d’impact relative à la protection des données (AIPD) est un outil d’évaluation d’impact sur la vie privée. Une AIPD repose sur 2 piliers :

1- les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;

2- la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Ce qu’il faut retenir: L’AIPD un outil de choix dans un processus de sécurisation des données.

Différence entre sécurité de l’information et protection de la vie privée et Démarche en 4 étapes

Quelle différence existe t-il entre sécurité de l’information et protection de la vie privée ? Les deux suivent des logiques complémentaires. L’objectif de la sécurité de l’information est de protéger l’organisme des atteintes liées à son patrimoine informationnel.  Celui de la protection de la vie privée est de protéger les personnes des atteintes liées à leurs données. Un article sur la protection des données personnelles a été, il y a quelques semaines, publié sur notre blog.

Pour garantir la sécurité des données, une démarche en quatre étapes essentielles doit être entreprise :

• Première étape: L’étude du contexte . Elle permet de délimiter et décrire les traitements considérés, leur contexte et leurs enjeux ;
• Deuxième étape: L’étude des mesures grâce à laquelle sont identifiées les mesures existantes ou prévues (d’une part pour respecter les exigences légales, d’autre part pour traiter les risques sur la vie privée) ;
• Troisième étape: L’étude des risques qui permet d’apprécier les risques liés à la sécurité des données et qui pourraient avoir des impacts sur la vie privée des personnes concernées afin de vérifier qu’ils sont traités de manière proportionnée ;
• Quatrième étape: La validation; une étape oú l’on déterminera la manière dont il est prévu de respecter les exigences légales et de traiter les risques, ou encore refaire une itération des étapes précédentes.

Le suivi de cette approche par les entreprises leur permet d’assurer une prise en compte optimale de la protection des données personnelles dans le cadre de leurs activités.

Par ailleurs, le catalogue de bonnes pratiques aide à déterminer des mesures proportionnées aux risques identifiés, en agissant sur :

-les « éléments à protéger » : minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits…

-les « impacts potentiels » : sauvegarder les données, tracer l’activité, gérer les violations de données…

-les « sources de risques » : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…

-les « supports » : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…

Pour sécuriser les données, cinq leçons à retenir sur www.village-justice.com

Leçon 1 : Mettre en place des mesures élémentaires de sécurité.

Dans les différents cas soumis à la CNIL, on peut recenser notamment :

– L’absence de mise en place de dispositif permettant d’éviter la prévisibilité des URL ;

– L’absence de procédure d’identification ou d’authentification des utilisateurs (par exemple, un site internet qui n’intègre pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant d’accéder aux documents) ;

– L’absence de test de vulnérabilité des sites internet en amont (en vérifiant par exemple, que leur mise en production avait été précédée d’un protocole complet de test).

Le RGPD instaure une logique de protection des données dès la conception et par défaut. Par conséquent, dès la conception d’outils ou systèmes informatiques, il est recommandé de suivre les démarches élémentaires suivantes :

– Vérifier les règles de filtrage des URL (par exemple, la modification d’un mot présent dans l’URL) ;

– En cas de connexion à distance au réseau informatique interne d’une entreprise, a minima, mettre en place des mesures de filtrage des adresses IP pour autoriser seulement des adresses IP identifiées et autorisées, ou alors utiliser un VPN ;

– Envisager de mettre en place une procédure d’identification ou d’authentification des utilisateurs du site web pour protéger les informations enregistrées (par exemple, téléversement de document ;

– En cas d’authentification par un utilisateur, les identifications ne doivent pas être divulguées ni stockées dans un fichier non protégé ;

– Pour les mots de passe, suivre scrupuleusement la délibération n°2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe de la CNIL (identifiant unique par utilisateur, mot de passe complexe, changements de mot de passe réguliers, verrouillage du compte après plusieurs échecs, …) ;

– Pour les accès aux postes de travail, paramétrer le verrouillage automatique en cas d’inactivité ; installer un « pare-feu », utiliser des antivirus régulièrement mis à jour (…) ;

– En cas de recours à des prestataires, vérifier les caractéristiques des produits, outils et systèmes informatiques.

Leçon 2 : Contrôler régulièrement la sécurité de vos outils et systèmes informatiques.

Dans la plupart des décisions rendue par la CNIL, l’autorité souligne l’importance d’effectuer des vérifications régulières des mesures de sécurité mises en place par le responsable de traitement.

Concrètement, ces vérifications doivent être effectuées en amont, lors de la mise en production et après le déploiement des outils et/ou systèmes ou sites internet. Finalement, il s’agit pour les responsables de traitement de tester les mesures mises en place tout au long du processus. D’où le terme de vérifications « régulières».

Leçon 3 : Surveiller les actions de vos sous-traitants.

Lorsque des opérations de traitement de données sont confiées à des sous-traitants, cela ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte. En effet, le responsable de traitement doit s’assurer et vérifier que toutes les composantes et options de l’outil ou du système par le prestataire répondent à des mesures de sécurité conformes au RGPD.

Avant la violation des données, il est de la responsabilité du responsable de traitement de procéder aux vérifications des caractéristiques du produit (standard) retenu auprès de son prestataire.

Après la violation des données, dans ses relations avec des sous-traitants, il est recommandé au responsable de traitement de jouer un rôle actif et d’être en mesure de justifier les demandes relatives aux mesures correctives auprès de son sous-traitant. Ces demandes doivent être quotidiennes et exister avant et tout au long de la faille.

Leçon 4 : Documenter pour prouver.

La logique « d’accountability » du RGPD impose au responsable de traitement de documenter pour démontrer la conformité . Pour contrôler la sécurité des outils et systèmes informatiques, la CNIL invite à procéder à des protocoles complets de tests et des audits.  A titre d’exemple, à propos de ligne qui compose un code informatique d’un site web, une « attention particulière doit être portée au mécanisme d’authentification et nécessite alors une revue manuelle du code ».

D’autres documents peuvent également aider à contrôler la sécurité des outils tels que le registre des traitements, les analyses d’impact, les divers contrats et avenants avec vos prestataires. Plus largement, le RGPD prévoit des outils méthodologiques tels que les certifications, labels ou codes de bonne conduite dont l’application peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement et qui pourront également être pris en compte par l’autorité de contrôle en cas de procédure contentieuse .

Leçon 5 : Ne pas attendre pour agir.

Sécuriser et protéger les données traitées, et plus généralement le processus de mise en conformité au RGPD semble complexe.

Ce qu’il faut retenir: Une démarche clairement définie soutenue par un ensemble de mesures techniques et procédurales facilitent la sécurisation des données.