Close
  • Accueil
  • A Propos
  • Expertise & Logiciels
  • Nos Références
  • Actualité
  • Carrière
  • Blog
  • Contact
  • Accueil
  • A Propos
  • Expertise & Logiciels

      Expertise

      Logiciels

  • Nos Références
  • Actualité
  • Carrière
  • Blog
  • Contact

Comment Garantir La Sécurité Des Données?

By Anne Marie  Published On 29 septembre 2020

L’article 34 de la loi informatique et libertés stipule que :  » Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

 

Evaluer les risques

Avant d’évaluer les risques, il est important de s’assurer que la collecte de données s’est faite en respectant certain aspects que nous avons eu à aborder dans l’un de nos précédents articles.

Pour garantir la sécurité des données personnelles dont l’organisme a la charge , il revient au responsable du fichier d’idendifier au préalable les risques sur la vie des personnes dont les données sont détenues en cas de fuite ou de perte de données. Après cette étape d’identification des risques, pourront être déterminés les moyens adéquats pour les réduire ou les minimiser. Dans ce cadre et pour l’évaluation du niveau de sécurité des données personnelles, la CNIL (Commission Nationale de l’Informatique et des Libertés) a public un guide sur la sécurité des données personnelles. Ce guide est présenté sous forme de fiches thématiques mettant en lumière les précautions élémentaires à mettre en place pour améliorer la sécurité d’un traitement de données à caractère personnel. Il atteint cependant ses limites lorsqu’il s’agit d’étudier des traitements complexes ou aux risques élevés. 

Ce qu’il faut retenir: Une identification et une évaluation des risques sont des étapes primordiales avant le choix des moyens de sécurisation des données.

L’Analyse d’Impact relative à la Protection des données

Nous avons eu à publier un article sur l’analyse d’Impact mettant en avant les destinataires de cette analyse, les acteurs qui y intervenaient ou encore les intérêts que présentaient une telle analyse.

Avant d’aborder l’analyse d’Impact, il faut se poser une série de questions telle qu’exposé sur  le site www.cnil.fr  . Les bonnes questions à se poser sont listées comme suit:

  • Quels pourraient être les impacts sur les personnes concernées en cas :

   d’accès illégitime ?  de modification non désirée ?  de disparition ? Est-ce grave ?

  • Comment chacun de ces scénarios pourrait-il arriver ?
  • Est-ce vraisemblable ?
  • Quelles mesures (de prévention, de protection, de détection, de réaction…) devrait-on prévoir pour réduire ces risques à un niveau acceptable ?

En rappel l’analyse d’impact relative à la protection des données (AIPD) est un outil d’évaluation d’impact sur la vie privée. Une AIPD repose sur 2 piliers :

1- les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;

2- la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

 

Ce qu’il faut retenir: L’AIPD un outil de choix dans un processus de sécurisation des données.

 

Différence entre sécurité de l’information et protection de la vie privée et Démarche en 4 étapes

Quelle différence existe t-il entre sécurité de l’information et protection de la vie privée ? Les deux suivent des logiques complémentaires. L’objectif de la sécurité de l’information est de protéger l’organisme des atteintes liées à son patrimoine informationnel.  Celui de la protection de la vie privée est de protéger les personnes des atteintes liées à leurs données. Un article sur la protection des données personnelles a été, il y a quelques semaines, publié sur notre blog.

Pour garantir la sécurité des données, une démarche en quatre étapes essentielles doit être entreprise :

  • Première étape: L’étude du contexte . Elle permet de délimiter et décrire les traitements considérés, leur contexte et leurs enjeux ;
  • Deuxième étape: L’étude des mesures grâce à laquelle sont identifiées les mesures existantes ou prévues (d’une part pour respecter les exigences légales, d’autre part pour traiter les risques sur la vie privée) ;
  • Troisième étape: L’étude des risques qui permet d’apprécier les risques liés à la sécurité des données et qui pourraient avoir des impacts sur la vie privée des personnes concernées afin de vérifier qu’ils sont traités de manière proportionnée ;
  • Quatrième étape: La validation; une étape oú l’on déterminera la manière dont il est prévu de respecter les exigences légales et de traiter les risques, ou encore refaire une itération des étapes précédentes.

Le suivi de cette approche par les entreprises leur permet d’assurer une prise en compte optimale de la protection des données personnelles dans le cadre de leurs activités.

Par ailleurs, le catalogue de bonnes pratiques aide à déterminer des mesures proportionnées aux risques identifiés, en agissant sur :

-les « éléments à protéger » : minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits…

-les « impacts potentiels » : sauvegarder les données, tracer l’activité, gérer les violations de données…

-les « sources de risques » : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…

-les « supports » : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…

 

Pour sécuriser les données, cinq leçons à retenir sur www.village-justice.com

Leçon 1 : Mettre en place des mesures élémentaires de sécurité.

Dans les différents cas soumis à la CNIL, on peut recenser notamment :

– L’absence de mise en place de dispositif permettant d’éviter la prévisibilité des URL ;

– L’absence de procédure d’identification ou d’authentification des utilisateurs (par exemple, un site internet qui n’intègre pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant d’accéder aux documents) ;

– L’absence de test de vulnérabilité des sites internet en amont (en vérifiant par exemple, que leur mise en production avait été précédée d’un protocole complet de test).

 

Le RGPD instaure une logique de protection des données dès la conception et par défaut. Par conséquent, dès la conception d’outils ou systèmes informatiques, il est recommandé de suivre les démarches élémentaires suivantes :

– Vérifier les règles de filtrage des URL (par exemple, la modification d’un mot présent dans l’URL) ;

– En cas de connexion à distance au réseau informatique interne d’une entreprise, a minima, mettre en place des mesures de filtrage des adresses IP pour autoriser seulement des adresses IP identifiées et autorisées, ou alors utiliser un VPN ;

– Envisager de mettre en place une procédure d’identification ou d’authentification des utilisateurs du site web pour protéger les informations enregistrées (par exemple, téléversement de document ;

– En cas d’authentification par un utilisateur, les identifications ne doivent pas être divulguées ni stockées dans un fichier non protégé ;

– Pour les mots de passe, suivre scrupuleusement la délibération n°2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe de la CNIL (identifiant unique par utilisateur, mot de passe complexe, changements de mot de passe réguliers, verrouillage du compte après plusieurs échecs, …) ;

– Pour les accès aux postes de travail, paramétrer le verrouillage automatique en cas d’inactivité ; installer un « pare-feu », utiliser des antivirus régulièrement mis à jour (…) ;

– En cas de recours à des prestataires, vérifier les caractéristiques des produits, outils et systèmes informatiques.

 

Leçon 2 : Contrôler régulièrement la sécurité de vos outils et systèmes informatiques.

Dans la plupart des décisions rendue par la CNIL, l’autorité souligne l’importance d’effectuer des vérifications régulières des mesures de sécurité mises en place par le responsable de traitement.

Concrètement, ces vérifications doivent être effectuées en amont, lors de la mise en production et après le déploiement des outils et/ou systèmes ou sites internet. Finalement, il s’agit pour les responsables de traitement de tester les mesures mises en place tout au long du processus. D’où le terme de vérifications « régulières».

Leçon 3 : Surveiller les actions de vos sous-traitants.

Lorsque des opérations de traitement de données sont confiées à des sous-traitants, cela ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte. En effet, le responsable de traitement doit s’assurer et vérifier que toutes les composantes et options de l’outil ou du système par le prestataire répondent à des mesures de sécurité conformes au RGPD.

Avant la violation des données, il est de la responsabilité du responsable de traitement de procéder aux vérifications des caractéristiques du produit (standard) retenu auprès de son prestataire.

Après la violation des données, dans ses relations avec des sous-traitants, il est recommandé au responsable de traitement de jouer un rôle actif et d’être en mesure de justifier les demandes relatives aux mesures correctives auprès de son sous-traitant. Ces demandes doivent être quotidiennes et exister avant et tout au long de la faille.

 

Leçon 4 : Documenter pour prouver.

La logique « d’accountability » du RGPD impose au responsable de traitement de documenter pour démontrer la conformité . Pour contrôler la sécurité des outils et systèmes informatiques, la CNIL invite à procéder à des protocoles complets de tests et des audits.  A titre d’exemple, à propos de ligne qui compose un code informatique d’un site web, une « attention particulière doit être portée au mécanisme d’authentification et nécessite alors une revue manuelle du code ».

D’autres documents peuvent également aider à contrôler la sécurité des outils tels que le registre des traitements, les analyses d’impact, les divers contrats et avenants avec vos prestataires. Plus largement, le RGPD prévoit des outils méthodologiques tels que les certifications, labels ou codes de bonne conduite dont l’application peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement et qui pourront également être pris en compte par l’autorité de contrôle en cas de procédure contentieuse .

Leçon 5 : Ne pas attendre pour agir.

Sécuriser et protéger les données traitées, et plus généralement le processus de mise en conformité au RGPD semble complexe.

Ce qu’il faut retenir: Une démarche clairement définie soutenue par un ensemble de mesures techniques et procédurales facilitent la sécurisation des données.

Restez informé ! Abonnez-vous pour recevoir nos prochains articles
Abonnez-vous

Partager :

  • Cliquez pour partager sur Twitter(ouvre dans une nouvelle fenêtre)
  • Cliquez pour partager sur Facebook(ouvre dans une nouvelle fenêtre)
  • Cliquez pour partager sur LinkedIn(ouvre dans une nouvelle fenêtre)
  • Cliquez pour partager sur WhatsApp(ouvre dans une nouvelle fenêtre)

Leave A Reply Annuler la réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

*

Surveillance Épidémiologique Et Outils Digitaux
Previous Article
Analyse Qualitative VS Analyse Quantitative des données de santé
Next Article

“Nous rendons votre travail beaucoup plus facile”

Besoin des conseils d’un expert ?

À l’écoute des spécificités de votre métier, nos spécialistes vous conseillent et vous accompagnent dans la réalisation de votre projet.
Contactez-nous

Cloudly Yours

Accueil
A Propos
Expertise
Logiciels
Blogue
Références

Contact

contact@cloudlyyours.com
12 Avenue des Marronniers,
91420, Morangis, France

Mentions Légales
Conditions Générales de Ventes
Facebook
Twitter
Whatsapp
Linkedin
Envelope
© Copyright 2020 - Cloudly Yours - Tous droits réservés
Ce site Web utilise des cookies pour améliorer votre expérience. Vous pouvez vous désinscrire si vous le souhaitez.Cookie réglagesACCEPTER
Politique de confidentialité et cookies

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Nécessaire
Toujours activé

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Non nécessaire

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.