GDPR (13) Une protection adéquate des données à caractère personnel

10 novembre 2017

Jusqu’à ce jour, nous avons surtout évoqué dans ce blog les directives GDPR relatives au traitement des données à caractère personnel. Sous quelles conditions ces données peuvent-elles être traitées ? Comment veiller à une bonne communication avec les personnes concernées ? Toutefois, le GDPR prévoit également que vous devez suffisamment protéger ces données contre les risques, pendant leur traitement mais aussi en dehors.

L’obligation de protection des informations existait bien sûr déjà dans la législation antérieure. La nouveauté, dans le GDPR, est que le responsable du traitement est responsable, au même titre que toute personne traitant les données à la demande d’un responsable.

Afin de mieux comprendre comment vous pouvez respecter cette obligation, nous devons nous pencher un instant sur ce qu’est la protection des informations. De grandes organisations ou entreprises qui, comme Group Joos, traitent systématiquement des données confidentielles de leurs clients, sont évidemment familières du sujet. Il existe plusieurs normes pour la protection des informations, et ISO 27001 est assurément la plus connue. Ajoutez à cela un arsenal de documents stratégiques, de procédures et d’instructions, afin de soutenir les organisations et leur management. Il s’agit véritablement d’une « science » en soi. Nous ne pouvons cependant pas ne pas en parcourir les principes de base.

Vous devez avant tout savoir contre quelles menaces protéger les données à caractère personnel, tout comme d’autres données confidentielles. À cet égard, l’acronyme CIA – toute ressemblance avec la fameuse agence américaine est fortuite – est souvent utilisé. CIA renvoie dans le cas présent à Confidentiality – Integrity – Availability. La protection des informations garantit la confidentialité, l’intégrité et la disponibilité des données.

  • Garantir la confidentialité des données, c’est veiller à ce que les données ne deviennent pas publiques et ne se retrouvent pas entre les mains de personnes auxquelles elles ne sont pas destinées. Nous connaissons tous les exemples frappants de centaines de milliers de données de cartes de crédit volées ou de documents confidentiels rendus publics par des pirates informatiques. Mais il existe également des fuites de données à plus petite échelle : une lettre déposée dans la mauvaise boîte aux lettres ou un e-mail envoyé par erreur à un mauvais destinataire.
  • La protection de l’intégrité des données, c’est veiller à ce que les données ne puissent pas être modifiées ou supprimées à tort. La falsification peut constituer une fraude. Les pirates peuvent manipuler les données. Toutefois, les modifications involontaires résultent le plus souvent d’erreurs humaines dans les logiciels ou lors de la configuration des systèmes ou des applications.
  • Enfin, il faut pouvoir garantir la disponibilité des données. Des mesures telles que des back-ups ou un plan de récupération après sinistre doivent permettre d’éviter la perte de données ou leur non-disponibilité au moment opportun.

Un programme de sécurité informatique vous aidera à entreprendre systématiquement les démarches nécessaires. Vous devez connaître les risques spécifiques encourus par les informations, et essayer de les éliminer, de les réduire ou d’en atténuer l’impact.

Le GDPR ne précise pas quelles sont les mesures à prendre pour assurer une protection adéquate des données. Et c’est assez logique, car la bonne méthode dépend de nombreux facteurs. D’une part, les risques ne sont pas toujours les mêmes :

  • La nature des données (catégories spéciales, données sensibles ou données d’identification par rapport à des données quasi publiques) et leur quantité déterminent l’impact d’une éventuelle fuite de données.
  • La nature du traitement elle-même peut comporter certains risques. Il convient par exemple d’accorder une attention particulière aux analyses automatiques des données sur lesquelles reposent des décisions.
  • L’échange et le transport de données peuvent comporter des risques supplémentaires.
  • Le recours à des tiers pour le traitement peut constituer une menace supplémentaire.
  • En dehors de l’Europe (ou plutôt en dehors de l’EEE), la protection n’est pas la même.
  • Le délai de conservation des données peut également jouer un rôle.

D’autre part, la science et la technologie évoluent en permanence. Ce qui constitue une protection adéquate aujourd’hui ne le sera peut-être plus dans deux ans.

Cela revient donc à un fameux exercice d’équilibriste. Les coûts et les efforts pour prendre certaines mesures doivent être proportionnels à la nature des données et aux dommages pouvant survenir en cas de problème.

Les grandes organisations utilisent déjà toute une série de procédures. Elles formulent une politique relative à la protection des informations et ont établi un système de gestion. Elles répertorient les risques et évaluent s’ils sont acceptables. Elles rédigent des procédures et des instructions. Elles effectuent des contrôles et font auditer leur système. Elles analysent les incidents et tirent des leçons de leur fonctionnement actuel pour l’améliorer dans le futur. Toutes ces démarches sont par exemples reprises dans les normes ISO 27001.

Si vous disposez déjà d’un bon système de gestion, il ne vous reste pas grand chose à faire pour vous mettre en règle par rapport au GDPR en ce qui concerne la protection des informations. Vous devez évidemment veiller à ce que toutes les données à caractère personnel soient classifiées « confidentielles » et à ce que les procédures de traitement des données confidentielles y soient applicables. Il est en outre fort probable que d’autres procédures soient nécessaires pour mieux régler les traitements spécifiques subis par les données à caractère personnel. Mais pour le reste, le cadre général est applicable.

Le défi est bien plus grand pour une entreprise ou une organisation qui n’est pas familiarisée avec la protection des informations. Dans les prochains articles, je tenterai de vous donner quelques conseils quant à la façon d’aborder la protection des informations dans une petite organisation. Comment, en faisant preuve de pragmatisme et de bon sens, élaborer des procédures réalisables et prendre des mesures pour réduire au strict minimum le risque d’incidents impliquant des données à caractère personnel ? Et comment démontrer que vous avez agi de façon adéquate ?

 

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING