Javascript is required
logo-dastralogo-dastra

Quelles mesures de sécurité appliquer avec le RGPD ?

Quelles mesures de sécurité appliquer avec le RGPD ?

Ce que dit le RGPD

Le RGPD impose une obligation générale de sécurité des données à caractère personnel. Cette obligation découle de l'article 5 1. f) et de l'article 32.

Article 5 1. f)

Les données à caractère personnel doivent être [...] traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité)

Article 32

Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

En France, la loi Informatique et Libertés rappelle également cette exigence dans son article 4.

Ainsi, chaque traitement doit faire l’objet d’un ensemble de mesure de sécurité décidées en fonction du contexte. Ces obligations sont donc toujours adaptées aux particularités du traitement et aux risques qu'il présente pour les droits et libertés des personnes concernées.

L'article 32 entend rappeler que l'ensemble de ces mesures de sécurité réalisées peuvent réduire les risques pour les personnes. Elles préservent ainsi :

Les droits et libertés des personnes,

mais aussi
Le patrimoine informationnel de l’organisme,
La réputation de l’organisme.

Alors que les risques pour les personnes évoluent rapidement (changement de nature, probabilité et gravité différente, etc) des mesures de sécurité doivent être intégrées afin de réduire les risques pour les personnes y compris dans le temps.

NB : la sécurité étant un processus continu, il convient de mettre à jour et de contrôler régulièrement les procédures installées.

Allons un peu plus loin et découvrons ce que l'article 32.1 du RGPD nous dit :

"Le responsable de traitement et le sous-traitant ont l’obligation de mettre en oeuvre les mesures techniques, organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques, et notamment : la pseudonymisation et le chiffrement des données à caractère personnel, les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité, la résilience constante des systèmes et des services de traitement, les moyens permettant de rétablir la disponibilité des données personnels et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique, une procédure visant à tester, à analyser, à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement."

Ainsi, par la extension de la responsabilité par le RGPD, ces obligations de sécurité pèsent sur le responsable de traitement mais aussi le sous-traitant. Enfin, ces mesures protègent les personnes, mais aussi leurs données : on parle d'intégrité, de confidentialité et de disponibilité des données.

Réduire les risques

L’obligation de sécurité doit être appréhendée de manière globale, sous l’angle de 3 principes permettant de réduire les risques :

▶ Principe de confidentialité

▶ Principe d’intégrité

▶ Principe de disponibilité

Chaque principe va permettre d'éviter une multitude de risques. Par exemple :

  • Les accès non autorisés pour la confidentialité des données,
  • Les modifications injustifiées pour l'intégrité des données,
  • L'inaccessibilité des données pour la disponibilité des données.

Les sources de ces risques peuvent être multiples, et se calculent selon la probabilité que le risque se produise et l'impact qu'il pourrait avoir si le risque devenait réalité.

Exemples de risques :

  • Les risques peuvent être internes ou externes
  • Les parties prenantes (employés, visiteurs, concurrents) en manipulant mal les données peuvent, de manière accidentelle ou délibérée, augmenter les risques de fuites, de vols, de pertes, etc,
  • Le risque peut provenir d'attaques malveillantes, du crime organisé ou autres,
  • Le risque peut aussi provenir de pannes, de sinistres, d'incidents, d'actions volontaires...

Bref, chaque traitement de données peut faire facilement l'objet de risques d'atteinte à la sécurité ce qui justifie la mise en place de mesures de securité.

Les mesures de sécurité

Quelques exemples de mesures de sécurité sont suggérées par le RGPD mais non imposées :

▶ Le chiffrement des données : seul l’émetteur et le destinataire peuvent accéder au contenu. Une fois chiffré, il faut avoir la clé spécifique, sinon le message est inaccessible et illisible.

▶ La pseudonymisation : remplacer un identifiant, ou plus généralement des données personnelles, par un pseudonyme. Il reste possible de ré-identifier la personne en combinant le pseudonyme avec d’autres informations (différent donc de l’anonymisation).

L’organisme a ainsi l’obligation de prendre des mesures. On distingue 3 types de mesures :

▶ Mesures physiques ou mesures “matérielles” : verrouillage des portes, etc. ;

▶ Mesures logiques ou mesures “logicielles” : antivirus, mot de passe ;

▶ Mesures organisationnelles : procédure, gouvernance de la sécurité.

Les mesures physiques

Il s’agit de favoriser l’accès aux locaux, tout en garantissant la sécurité des données.

Exemples de mesures :

  • Installer des alarmes anti-intrusion, avec vérification
  • Distinguer les zones des bâtiments selon les risques, par exemple les salles hébergeant les serveurs,
  • Protéger physiquement les matériels informatiques,
  • Installer des serrures dans chaque bureau,
  • etc.

Les mesures logiques

▶ Adopter une politique rigoureuse de mot de passe pour l’accès aux postes de travail.

Exemples :
Identifiant unique par utilisateur et interdiction des comptes partagés.
Exiger des mots de passe robustes
Bloquer temporairement l’accès au compte après plusieurs échecs lors de l’authentification.

▶ Sécuriser les postes de travail.

Exemples :
Verrouillage automatique des postes de travail suite à une courte période d’inactivité.
Contrôle de l’usage des ports USB sur les postes sensibles.

▶ Tracer les accès à la base active et aux différentes archives

Exemples :
Responsabiliser les acteurs en créant une procédure de traçabilité des actions sur les fichiers.
Contrôle régulier des traces via de la détection automatisée d’actions suspectes.

▶ Protéger le réseau informatique interne et les serveurs d’attaques extérieurs.

Exemples :
Pare-feu et antivirus mis à jour régulièrement
Canaux sécurisés et systèmes d’authentification pour les connexions à distance
Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées.

▶ Anticiper le risque de perte ou de divulgation des données.

Exemples :
Effectuer des sauvegardes régulières et les stocker sur un site distinct
Protéger les équipements de journalisation et les informations journalisées
Chiffrer systématiquement les données stockées sur des supports nomades (clefs USB, smartphones, ordinateurs etc.)

Les mesures organisationnelles

Elles sont complémentaires aux mesures physiques ou logiques, et structurent et créent les procédures pour l’application des mesures de sécurité choisies.

▶ Politique de contrôle d’accès des données.

Exemples :
Définir les procédures à suivre à chaque mouvement de personnel (arrivée, départ, ou changement d’affectation)
Réaliser des revues régulières des droits accordées aux utilisateurs
Prévoir les vérifications à effectuer en cas de demande d’un tiers de transmission des données (ex : services de police, etc).

▶ Sensibiliser les utilisateurs sur les conditions d’utilisation des données.

Exemples :
Diffuser et faire signer à chaque utilisateur une charte informatique, qui rappellent conditions d’utilisations des équipements informatiques et des données personnelles.
Sensibiliser régulièrement les utilisateurs sur les règles internes et pénales, et sur les menaces existantes (faille, cyber-manipulation, etc).
Documenter les procédures d’exploitation des données, les mettre à jour et à disposition des utilisateurs.

▶ Définir une politique de gestion des incidents touchant des données personnelles.

Exemples :
Etablir une procédure en cas de vol/perte de données personnelles (personnes à prévenir, dépôt de plainte, etc).
Prévoir le ou les référents à saisir en cas d’atteinte à l’intégrité, la confidentialité, et la disponibilité des données.

▶ Prévoir des audits réguliers des procédures et des traitements.

Exemples :
Identifier les traitements pertinents pour un audit interne ou externe régulier,
Etablir un suivi de la mise en oeuvre des mesures préconisés suite aux audits,
Prévoir les critères de revue des analyses de risques (délais, avancée technologique, failles rendue publique, etc.).

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.