Les bases de la mise en conformité avec le RGPD

·

·

Les bases de la mise en conformité avec le RGPD
Je soutiens LegalPlanet avec 5 ⭐

Un organisme doit non seulement traiter les données personnelles conformément au Règlement général sur la protection des données (RGPD), mais aussi être capable de démontrer sa conformité. Cela implique de mettre en œuvre des pratiques telles que la protection des données dès la conception, la tenue d’un registre des activités de traitement et, dans certains cas, la réalisation d’une analyse d’impact sur la protection des données (AIPD).

Protection des données dès la conception et par défaut

Conformément à l’article 25 du RGPD, le responsable du traitement doit adopter des mesures pour s’assurer que la protection des données est intégrée dans les opérations dès leur conception. Cela signifie que tout au long de l’activité de traitement, l’entreprise doit :

  1. Respecter les principes de protection des données, notamment la minimisation des données, la limitation de la conservation, et la restriction de l’accès aux données aux seules personnes habilitées.
  2. Limiter les données traitées à ce qui est strictement nécessaire pour chaque finalité spécifique.

Exemple pratique :

Une entreprise de vente en ligne décide de ne collecter que les données strictement nécessaires à la commande, comme l’adresse pour la livraison de produits physiques. Pour les produits numériques, comme les e-books, elle supprime la collecte d’informations non nécessaires, telles que l’adresse postale.

Obligation de tenir un registre des traitements de données

L’article 30 du RGPD impose aux entreprises de tenir un registre des activités de traitement. Ce registre doit inclure :

  • Les finalités du traitement.
  • Les catégories de données traitées.
  • Les destinataires des données (internes et externes).
  • Les transferts éventuels de données hors de l’Espace économique européen (EEE).
  • Les durées de conservation et les mesures de sécurité mises en place.

Ce registre permet de démontrer la conformité en cas de contrôle par une autorité de protection des données telle que la CNIL en France.

Conseil :

Même si votre entreprise a moins de 250 salariés, il est recommandé de maintenir ce registre pour assurer une gestion efficace de vos données.

Réalisation d’une Analyse d’Impact sur la Protection des Données (AIPD)

Une AIPD est obligatoire lorsqu’un traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes. Cela concerne notamment :

  • Le traitement de données sensibles (article 9 du RGPD).
  • Le suivi systématique à grande échelle de zones publiques.

L’AIPD permet d’évaluer les risques et de mettre en place des mesures pour les atténuer.

Exemple pratique :

Si une entreprise de sécurité souhaite installer des caméras de vidéosurveillance dans un espace public, elle doit réaliser une AIPD pour évaluer les risques pour la vie privée des personnes filmées et envisager des mesures pour réduire ces risques (par exemple, floutage des visages).

Consultations préalables et mesures correctives

Lorsqu’une AIPD révèle des risques élevés résiduels, l’entreprise doit consulter l’autorité de protection des données compétente. Elle devra également :

  • Décrire les responsabilités des différents acteurs du traitement.
  • Fournir des informations sur les mesures de sécurité envisagées.
  • Établir un contact direct avec un délégué à la protection des données si un tel rôle est en place.

Certification RGPD

La certification RGPD est un moyen pour les entreprises de démontrer leur conformité. Les organismes de certification, reconnus par les autorités de protection des données, évaluent les pratiques d’une entreprise en matière de traitement des données.

Mon organisme a reçu une certification RGPD, et ensuite ?

Une certification RGPD est valable pour une durée de trois ans et doit être renouvelée périodiquement. Elle peut également être révoquée si l’entreprise ne respecte plus les exigences du RGPD. Il est crucial de maintenir un processus de réévaluation régulier pour garantir la conformité continue aux normes RGPD.

La sécurisation des données

Le RGPD spécifie que les responsables du traitement des données et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité des données personnelles adapté aux risques.

Les informations suivantes sont des précautions de base qui devraient être prises en considération par les organismes qui traitent des données personnelles (c’est-à-dire les responsables du traitement des données et les sous-traitants). Il ne s’agit pas d’une liste complète des mesures qui peuvent être mises en œuvre pour protéger les données personnelles dans tous les contextes. Les responsables du traitement et les sous-traitants doivent adapter ces mesures au contexte (en tenant compte de l’état de l’art, du contexte du traitement et du risque pour les individus).

En savoir plus
Sécurité : quels sont les enjeux ?
Les conséquences d’un manque de sécurité peuvent être graves : les entreprises peuvent voir leur image dégradée, perdre la confiance de leurs consommateurs, payer des sommes importantes pour se remettre d’un incident de sécurité (par exemple à la suite d’une violation de données) ou mettre fin à leur activité. Sécuriser les données personnelles est dans l’intérêt des individus et des organismes qui traitent des données.

Afin d’évaluer les risques générés par chaque activité de traitement, il est tout d’abord conseillé d’identifier l’impact potentiel sur les droits et libertés des personnes concernées. Alors que les organisations doivent protéger leurs données (personnelles ou non) pour leur propre intérêt, les informations suivantes se concentrent sur la protection des données des individus.
La sécurité des données comporte trois composantes principales : protéger l’intégrité, la disponibilité et la confidentialité des données. Par conséquent, les organismes devraient évaluer les risques pour les éléments suivants :

accès non autorisé ou accidentel aux données — perte de confidentialité (par exemple, le vol d’identité à la suite de la divulgation des fiches de paie de tous les employés d’une entreprise) ;
altération non autorisée ou accidentelle des données — perte d’intégrité (par exemple, accuser faussement une personne d’une faute ou d’un crime à la suite de la modification des journaux d’accès) ;
perte de données ou perte d’accès aux données — perte de disponibilité (par exemple, la non-détection d’une interaction médicamenteuse en raison de l’impossibilité d’accès au dossier électronique du patient).
Il est également conseillé d’identifier les sources de risque (c’est-à-dire qui ou ce qui pourrait être à l’origine de chaque incident de sécurité ?), en tenant compte des sources humaines internes et externes (par exemple, administrateur informatique, utilisateur, attaquant externe, concurrent) et de sources non humaines internes ou externes (par exemple dommages à l’eau, matières dangereuses, virus informatique non ciblés).

Cette identification des sources de risque vous permettra d’identifier les menaces potentielles (c’est-à-dire dans quelles circonstances pourrait se produire un incident de sécurité ?) sur tel ou tel support (par exemple, matériel, logiciels, canaux de communication, papier, etc.), qui peuvent être :

utilisés de manière inappropriée (par exemple, abus de droit, erreur de traitement) ;
modifiés (par exemple, piégeage de logiciels ou de matériel — enregistreur de frappe, installation de logiciels malveillants) ;
perdus (par exemple, vol d’un ordinateur portable, perte d’une clé USB);
observés (par exemple, observation d’un écran dans un train, géolocalisation des dispositifs);
détériorés (p. ex. : vandalisme, détérioration naturelle);
surchargés (p. ex. : supports de conservation pleins, attaque par déni de service).
indisponibles (par exemple dans le cas d’un ransomware).
Il est également conseillé de:

déterminer les mesures existantes ou prévues pour faire face à chaque risque (par exemple, contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement);
estimer la gravité et la probabilité des risques, sur la base des éléments ci-dessus (exemple d’une échelle pouvant être utilisée pour l’estimation: négligeable, modérée, significative, maximale);
mettre en œuvre et vérifier les mesures prévues si les mesures existantes et prévues sont jugées appropriées, s’assurer qu’elles sont mises en œuvre et contrôlées;
effectuer des audits de sécurité périodiques: chaque audit devrait aboutir à un plan d’action dont la mise en œuvre devrait faire l’objet d’un suivi au plus haut niveau de l’organisation.
Le RGPD introduit la notion d’« analyse d’impact sur la protection des données » qui est obligatoire pour tout traitement de données personnel susceptible d’entraîner un risque élevé pour les personnes. Une AIPD doit contenir les mesures envisagées pour faire face aux risques identifiés, y compris les garanties, les mesures de sécurité et les mécanismes visant à garantir la protection des données à caractère personnel.

Dans la pratique

Afin d’avoir une vue plus claire des risques de sécurité, vous pouvez, par exemple, créer un tableur de gestion des risques et le tenir à jour régulièrement. Ce tableur peut inclure les risques matériels et humains liés aux serveurs, aux ordinateurs ou aux locaux. Des risques suffisamment anticipés peuvent aider à atténuer les conséquences en cas d’incident.
Mesures organisationnelles
Sensibiliser les utilisateurs
Il est essentiel de sensibiliser les employés ou les utilisateurs qui traitent des données personnelles (gestionnaires de données) aux risques liés à la vie privée, de les informer des mesures prises pour faire face aux risques et aux conséquences potentielles en cas de défaillance.

Dans la pratique

La sensibilisation des utilisateurs peut prendre la forme de :

séances de sensibilisation;
des mises à jour régulières des procédures relatives aux fonctions des employés et des gestionnaires de données ;
communication interne, rappels par courriel, etc.
Une autre précaution consiste à documenter les procédures de fonctionnement, à les tenir à jour et à les mettre facilement à la disposition de tous les gestionnaires de données concernés. Concrètement, toute activité de traitement de données à caractère personnel, qu’elle concerne des opérations administratives ou la simple utilisation d’une application, doit être expliquée dans un langage clair et adaptée à chaque catégorie de gestionnaire, dans les documents auxquels elle peut se référer.

Mettre en place une politique interne
La connaissance des gestionnaires de données internes peut prendre la forme d’un document, qui devrait être contraignant et intégré dans le règlement intérieur. La politique interne devrait notamment inclure une description des règles en matière de protection des données et de sécurité.

Autres mesures organisationnelles
Mettre en œuvre une politique de classification de l’information qui définit plusieurs niveaux et exige le marquage des documents et des courriels contenant des données confidentielles.
Insérer un avertissement visible et explicite sur chaque page d’un document papier ou électronique contenant des données sensibles.
Organiser des séances de formation et de sensibilisation à la sécurité de l’information. Des rappels périodiques peuvent être fournis par e-mail ou par d’autres outils de communication internes.
Prévoir la signature d’un accord de confidentialité ou inclure une clause de confidentialité spécifique concernant les données personnelles dans les contrats avec les employés et les autres gestionnaires de données.

Mesures techniques
Sécuriser l’équipement
La confiance dans la fiabilité de vos systèmes d’information est une question clé, et la mise en œuvre de mesures de sécurité appropriées, que le RGPD a rendues obligatoires, est l’un des moyens d’y répondre.

En particulier, il est conseillé de sécuriser :

le matériel (par exemple serveurs, postes de travail, ordinateurs portables, disques durs);
les logiciels (par exemple, système d’exploitation, logiciels d’entreprise);
les canaux de communication (par exemple, fibre optique, Wi-Fi, Internet);
documents papier (p. ex. documents imprimés, copies);
les locaux.
Sécuriser les postes de travail
Les mesures suivantes pourraient être prises en compte lors de la sécurisation des postes de travail :

fournir un mécanisme automatique de verrouillage de session lorsque le poste de travail n’est pas utilisé pendant une période donnée ;
installer un logiciel pare-feu et limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail ;
utiliser des logiciels antivirus régulièrement mis à jour et avoir une politique de mise à jour régulière du logiciel ;
configurer l’environnement logiciel pour mettre à jour automatiquement la sécurité dans la mesure du possible ;
encourager la conservation des données des utilisateurs sur un espace de stockage avec sauvegarde régulière accessible via le réseau de l’organisme plutôt que sur les postes de travail. Si des données sont stockées localement, fournir aux utilisateurs des capacités de synchronisation ou de sauvegarde et les former à leur utilisation ;
limiter la connexion des supports mobiles (clés USB, disques durs externes, etc.) à l’essentiel;
désactivez l’ exécution automatique à partir de supports amovibles.
Ce qu’il ne faut pas faire

utiliser des systèmes d’exploitation obsolètes ;
donner des droits d’administrateur aux utilisateurs qui n’ont pas de compétences en sécurité informatique.

Pour aller plus loin

interdire l’utilisation d’applications téléchargées qui ne proviennent pas de sources sécurisées ;
limiter l’utilisation des applications qui nécessitent des droits d’administrateur pour s’exécuter ;
effacer en toute sécurité les données d’un poste de travail avant de les réaffecter à une autre personne ;
en cas de compromission d’un poste de travail, rechercher la source et toute trace d’intrusion dans le système d’information de l’organisation, afin de détecter si d’autres éléments ont été compromis ;
assurer la surveillance de la sécurité des logiciels et du matériel utilisés dans le système d’information de l’organisation ;
mettre à jour les applications lorsque des vulnérabilités critiques ont été identifiées et corrigées ;
installer sans délai les mises à jour critiques du système d’exploitation en programmant un contrôle automatique hebdomadaire ;
diffuser à tous les utilisateurs le bon plan d’action et la liste des personnes à contacter en cas d’incident de sécurité ou d’événement inhabituel affectant les systèmes d’information et de communication de l’organisme.
Dans la pratique

Le lieu de travail est en open space et vous avez beaucoup d’employés, mais aussi de nombreux visiteurs. Grâce à un verrouillage de session automatique, personne à l’extérieur de l’entreprise ne peut accéder à l’ordinateur d’un employé en pause ou voir ce sur quoi il travaille. De plus, un pare-feu et un antivirus à jour protègent la navigation Internet de vos employés et limitent les risques d’intrusion dans vos serveurs. Plus de mesures sont mises en place, plus il devient difficile pour les personnes ayant une intention malveillante ou un employé négligent de causer des dommages.
Protéger les locaux de l’entreprise
L’accès aux locaux doit être contrôlé afin d’empêcher ou de ralentir l’accès direct et non autorisé à des fichiers papier ou à des équipements informatiques, notamment des serveurs.

Ce qu’il faut faire

installer des alarmes anti-intrusion et les vérifier périodiquement ;
installer des détecteurs de fumée et des équipements de lutte contre les incendies et les inspecter chaque année ;
protéger les clés utilisées pour accéder aux locaux et les codes d’alarme ;
séparer les zones de l’entreprise en fonction des risques (par exemple, fournir un contrôle d’accès dédié à la salle informatique) ;
tenir une liste des personnes ou catégories de personnes autorisées à entrer dans chaque zone ;
établir des règles et des moyens de contrôle d’accès des visiteurs, au minimum en faisant accompagner les visiteurs en dehors des espaces publics par une personne de l’organisme ;
protéger physiquement l’équipement informatique avec des moyens spécifiques (système de lutte contre les incendies dédié, élévation contre d’éventuelles inondations, alimentation électrique redondante et/ou climatisation, etc.).
Ce qu’il ne faut pas faire

Sous-dimensionner ou négliger la maintenance de l’environnement de la salle des serveurs (climatisation, onduleur, etc.). Une panne de ces installations entraîne souvent l’arrêt des machines ou l’ouverture d’accès aux locaux (circulation de l’air), ce qui a pour effet de neutraliser les mesures de sécurité.

Pour aller plus loin
Il peut être pertinent de tenir un registre de l’accès aux salles ou aux bureaux où se trouve du matériel contenant des données personnelles susceptibles d’avoir une incidence négative grave sur les personnes concernées. Informer les gestionnaires de données de la mise en œuvre d’un tel système, après avoir informé et consulté les représentants du personnel.

En outre, assurez-vous que seul le personnel dûment autorisé est autorisé dans les zones réglementées. Par exemple :

à l’intérieur des zones réglementées, exiger que tous les individus portent un moyen d’identification visible (badge) ;
les visiteurs (personnel de support technique, etc.) devraient avoir un accès limité. La date et l’heure de leur arrivée et de leur départ doivent être enregistrées ;
examiner et mettre à jour régulièrement les autorisations d’accès pour sécuriser les zones et les supprimer si nécessaire.
Dans la pratique

Votre entreprise est spécialisée dans le commerce électronique. Vous détenez des données personnelles de clients hébergés sur des serveurs dans des locaux distincts. Afin de sécuriser l’accès à ces données, l’entrée de ces locaux est protégée par un lecteur de badges. Cependant, un incendie éclate en raison d’un court-circuit. Grâce à un détecteur de fumée, les pompiers ont été rapidement alertés et en mesure de limiter la perte de données.
Authentifier les utilisateurs
Afin de garantir que les utilisateurs n’ont accès qu’aux données dont ils ont besoin, ils devraient recevoir un identifiant unique et s’authentifier avant d’utiliser les installations informatiques.

Les mécanismes permettant d’obtenir l’authentification des personnes sont classés selon qu’ils impliquent :

ce que nous savons, par exemple un mot de passe ;
ce que nous avons, par exemple une carte à puce ;
une caractéristique propre à la personne, par exemple la façon dont une signature manuscrite est tracée.
Le choix du mécanisme dépend du contexte et des différents facteurs. L’authentification d’un utilisateur est considérée comme forte lorsqu’elle utilise une combinaison d’au moins deux de ces catégories.

Dans la pratique

Afin d’accéder à une salle sécurisée contenant des informations confidentielles, vous pouvez installer un lecteur de badge (« ce que nous avons ») ainsi qu’un code d’accès (« ce que nous savons »).
Gérer les autorisations
Des niveaux différenciés de profils d’autorisation devraient être mis en œuvre en fonction des besoins. Les utilisateurs ne devraient avoir accès aux données que sur la base des besoins à connaître.
Bonnes pratiques en matière d’authentification et de gestion des autorisations :

définir un identifiant unique pour chaque utilisateur et interdisent les comptes partagés par plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est inévitable, imposer une validation interne et mettre en œuvre des moyens de suivi (journalisation) ;
imposer l’utilisation de règles suffisamment strictes en matière de complexité des mots de passe (par exemple, au moins 8 caractères, majuscules et caractères spéciaux) ;
conserver les mots de passe en toute sécurité ;
supprimer les autorisations d’accès obsolètes ;
procéder à un examen régulier (par exemple tous les six mois) ;
Ce qu’il ne faut pas faire

créer ou utiliser des comptes partagés pour plusieurs personnes ;
donner des droits d’administrateur aux utilisateurs qui n’en ont pas besoin ;
accorder à un utilisateur plus de droits que nécessaire ;
oublier de supprimer les autorisations temporaires accordées à un utilisateur (par exemple pour un remplacement);
oublier de supprimer les comptes d’utilisateurs des personnes qui ont quitté l’organisation ou qui ont changé de poste.
Pour aller plus loin
Établir, documenter et réviser régulièrement toute politique de contrôle d’accès, en ce qui concerne les traitements mis en œuvre par l’organisme, qui devrait inclure :

les procédures à appliquer systématiquement à l’arrivée, au départ ou au changement d’affectation d’une personne ayant accès aux données personnelles ;
les conséquences pour les personnes ayant un accès légitime aux données en cas de non-respect des mesures de sécurité ;
des mesures visant à restreindre et à contrôler l’attribution et l’utilisation de l’accès au traitement.
Dans la pratique

Lorsqu’un nouvel employé rejoint l’entreprise, vous devez créer un nouveau compte utilisateur dédié avec un mot de passe fort. Les employés ne devraient pas partager leurs identifiants et mots de passe entre eux, surtout s’ils n’ont pas les mêmes droits. S’ils changent de poste, vous devriez revoir leurs autorisations d’accès à certains fichiers ou systèmes.
Pseudonymiser les données
La pseudonymisation est un traitement de données personnelle qui a pour objectif de ne plus pouvoir associer les données personnelles à une personne physique spécifique sans informations complémentaires. Ces informations complémentaires doivent être conservées séparément et faire l’objet de mesures techniques et organisationnelles.

Dans la pratique, la pseudonymisation consiste à remplacer directement les données d’identification (nom, prénom, numéro personnel, numéro de téléphone, etc.) par un ensemble de données par des données d’identification indirecte (alias, numéro séquentiel, etc.). Il permet de traiter les données des individus sans pouvoir les identifier de manière directe. Cependant, il est possible de retracer l’identité de ces personnes grâce aux données supplémentaires. En tant que telles, les données pseudonymisées sont toujours des données personnelles et sont soumises au RGPD. La pseudonymisation est réversible, contrairement à l’anonymisation.

La pseudonymisation est l’une des mesures recommandées par le RGPD pour limiter les risques liés au traitement des données à caractère personnel.

En savoir plus
Chiffrer les données
Le chiffrement est un processus qui consiste à convertir les informations en code afin d’empêcher l’accès non autorisé. Ces informations ne peuvent être lues qu’en utilisant la bonne clé. Le chiffrement est utilisé pour garantir la confidentialité des données. Les données chiffrées sont toujours des données personnelles. En tant que tel, le chiffrement peut être considéré comme l’une des techniques de pseudonymisation.

De plus, les fonctions de hachage peuvent être utilisées pour assurer l’intégrité des données. Les signatures numériques, assurent non seulement l’intégrité, mais permettent également de vérifier l’origine de l’information et son authenticité.

Anonymiser les données

Les données personnelles peuvent être rendues anonymes de telle sorte que l’individu n’est pas ou plus identifiable. L’anonymisation est un processus qui consiste à utiliser un ensemble de techniques pour rendre les données personnelles anonymes de telle sorte qu’il devient impossible d’identifier la personne par tout moyen raisonnablement susceptible d’être utilisé.

L’anonymisation, lorsqu’elle est mise en œuvre correctement, peut vous permettre d’utiliser des données en respectant les droits et libertés des individus. En effet, l’anonymisation peut permettre une réutilisation des données qui n’est initialement pas autorisée en raison de la nature personnelle des données, et peut ainsi permettre aux organismes d’utiliser les données pour de nouveaux objectifs sans interférer avec la vie privée des individus. L’anonymisation permet également de conserver les données au-delà de la période de conservation.

Lorsque l’anonymisation est correctement mise en œuvre, le RGPD ne s’applique plus aux données anonymisées. Cependant, il est important de garder à l’esprit que l’anonymisation des données personnelles n’est pas toujours possible ou facile à réaliser dans la pratique. Il convient d’examiner si l’anonymisation peut être appliquée aux données en cause et maintenue avec succès, compte tenu des circonstances spécifiques du traitement des données à caractère personnel. Une expertise juridique ou technique supplémentaire serait souvent nécessaire pour réussir la mise en œuvre de l’anonymisation conformément au RGPD.

Comment vérifier l’efficacité de l’anonymisation ?
Les autorités européennes chargées de la protection des données définissent trois critères pour garantir qu’un ensemble de données est véritablement anonyme :

Individualisation : il ne devrait pas être possible d’isoler les informations relatives à une personne dans l’ensemble de données.
Corrélation : il ne devrait pas être possible de relier des données distinctes concernant la même personne.
Inférence : il ne devrait pas être possible de déduire, avec une quasi certitude, des informations sur un individu.
Dans la pratique

Individualisation : dans une base de données de CV où seuls les noms et prénoms d’une personne ont été remplacés par un numéro (qui ne correspond qu’à cette personne), il est toujours possible de distinguer une personne en fonction d’autres caractéristiques. Dans ce cas, les données personnelles sont considérées comme pseudonymisées et non comme anonymisées.
Corrélation : une base de données cartographique contenant les adresses des individus ne peut pas être considérée comme anonyme si d’autres bases de données, existantes ailleurs, contiennent ces mêmes adresses avec d’autres données permettant l’identification des individus.
Inférence : si un ensemble de données prétendument anonymes contient des renseignements sur l’obligation fiscale des répondants à un questionnaire et que tous les répondants de sexe masculin âgés de 20 à 25 ans ne sont pas imposables, on pourrait alors en déduire qu’un répondant en particulier est imposable ou non, lorsque son âge et sexe sont connus.
En savoir plus
Situations spécifiques
Mesures de sécurité pour le télétravail
Dans le cadre du télétravail, il est nécessaire de garantir la sécurité des données traitées tout en respectant la vie privée des personnes physiques.

Ce qu’il faut faire :

Instaurer une politique de sécurité du télétravail ou au moins un ensemble de règles minimales à respecter, et communiquer ce document aux employés conformément à votre règlement intérieur ;
Si vous devez modifier les règles commerciales de votre système d’information pour permettre le télétravail (par exemple, modifier les règles d’autorisation, accès administrateur à distance, etc.), tenir compte des risques encourus et, si nécessaire, prendre des mesures pour maintenir le niveau de sécurité ;
Équipez tous les postes de travail de vos employés d’un pare-feu, d’un logiciel antivirus et d’un outil pour bloquer l’accès aux sites malveillants. Si les employés peuvent utiliser leur propre équipement, fournir des conseils pour le sécuriser (voir « Mesures de sécurité pour BYOD ») ;
Configurez un VPN pour éviter toute exposition directe de vos services à Internet dans la mesure du possible. Activer l’authentification VPN à deux facteurs, si possible ;
Fournir à vos employés une liste d’outils de communication et de collaboration adaptés au travail à distance, qui garantissent la confidentialité des échanges et des données partagées. Choisissez les outils que vous contrôlez et assurez-vous qu’ils fournissent au moins une authentification et un cryptage de pointe des communications et que les données en transit ne soient pas réutilisées à d’autres fins (amélioration du produit, publicité, etc.). Certains logiciels grand public peuvent transmettre des données d’utilisateur à des tiers et sont donc particulièrement inadaptés à un usage professionnel.

Mesures de sécurité pour le BYOD (Bring your own device ou « Apportez votre propre appareil »)
Avec le développement du BYOD, en particulier dans les TPE/PME, la frontière entre la vie professionnelle et la vie personnelle s’estompe. Même si BYOD ne représente pas, en soi, un traitement de données personnelles, il est toujours nécessaire d’assurer la sécurité des données.

L’acronyme « BYOD » signifie « Bring Your Own Device » et fait référence à l’utilisation d’équipements informatiques personnels dans un contexte professionnel. Par exemple, un employé qui utilise un équipement personnel tel qu’un ordinateur, une tablette ou un téléphone pour se connecter au réseau de l’entreprise.

La possibilité d’utiliser des outils personnels relève avant tout du choix de l’employeur et de la législation nationale. Le RGPD exige que le niveau de sécurité des données personnelles traitées soit le même, quel que soit l’équipement utilisé. Les employeurs sont responsables de la sécurité des données personnelles de leur entreprise, y compris lorsqu’elles sont stockées sur des terminaux sur lesquels ils n’ont aucun contrôle physique ou juridique, mais dont ils ont autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.

Les risques contre lesquels il est essentiel de protéger votre organisation peuvent concerner autant une attaque ponctuelle sur la disponibilité, l’intégrité et la confidentialité des données qu’une compromission générale du système d’information de l’entreprise (intrusion, virus, etc.).

Exemple de checklist

Voici un exemple de checklist pour améliorer le niveau de sécurité en place dans votre organisation :

Informer et éduquer régulièrement les gestionnaires de données sur les risques liés à la vie privée
Mettre en place une politique interne et lui donner force contraignante
Mettre en œuvre la protection des données dès la conception et par défaut
S’assurer que les données traitées sont adéquates, pertinentes et limitées à ce qui est nécessaire (minimisation des données)
Mettre en œuvre une politique de classification de l’information pour les données confidentielles
Mettre une indication spécifique sur les documents contenant des données sensibles
Organiser des séances de formation et de sensibilisation à la sécurité de l’information, ainsi que des rappels périodiques.
Signer un accord de confidentialité avec vos employés ou inclure des clauses de confidentialité spécifiques
Fournir un verrouillage automatique de la session, un pare-feu et un antivirus à jour, un stockage de sauvegarde pour les utilisateurs
Limiter la connexion physique (clés USB, disques durs externes, etc.) à l’essentiel
Protéger les locaux de l’entreprise (par exemple, alarmes anti-intrusion, détecteurs de fumée, clés protégées, pièce distinguée en fonction du risque, autorisation d’accéder à des zones spécifiques, système dédié de lutte contre les incendies)
Donner un identifiant unique aux utilisateurs
Exiger une authentification pour accéder aux installations informatiques
Gérer les autorisations (par exemple, des profils séparés en fonction des besoins, un identifiant unique, des mots de passe forts)
Publier une politique de sécurité en matière de télétravail
Supprimer les autorisations d’accès obsolètes
Procéder à un examen régulier des autorisations
Pseudonymiser ou anonymiser les données pour limiter la réidentification des individus
Chiffrer les données pour empêcher les accès non autorisés
Installer un VPN pour le télétravail
S’assurer de sécuriser les appareils personnels utilisés pour le travail (BYOD)


Chat Icon