GDPR (14) Analyse des risques liés aux données à caractère personnel

21 novembre 2017

Le GDPR insiste beaucoup sur l’obligation, pour chaque responsable ou personne qui traite des données à caractère personnel, d’offrir une protection efficace pour la confidentialité, l’intégrité et la disponibilité des données. Il n’est pas nécessaire de compter des spécialistes dans vos rangs pour respecter cette obligation, il est parfaitement possible d’entreprendre les mêmes étapes de manière simplifiée.

Le point de départ de toutes les mesures consiste en une analyse des risques. Cela peut sembler ardu et lourd, mais ce n’est pas forcément le cas. Prenez votre registre des traitements de données et procédez par étapes. Posez-vous quelques questions ciblées. Ajoutez deux colonnes à votre registre et formulez-y les risques liés à chaque traitement spécifique et les mesures qui vous permettront de limiter ces risques.

Voici quelques exemples simples, que vous trouverez aussi sans doute dans votre registre. Vous disposez de coordonnées de personnes auxquelles vous envoyez de temps à autre de l’information sur vos produits et services. Vous avez évidemment leur nom et leur adresse, mais aussi le nom de leur entreprise, leur fonction et peut-être des informations relatives à leurs études, leurs loisirs et leurs  centres d’intérêt. À côté de cela, vous avez une foule d’informations sur votre personnel, dont les CV et les rapports des évaluations annuelles. Vous communiquez chaque mois à votre secrétariat social qui a pris congé ou a été malade à quel moment. Vous devez connaître la composition familiale des membres de votre personnel, car le précompte professionnel en tient compte. Vous avez peut-être des caméras de surveillance qui filment votre personnel et les visiteurs qui entrent et sortent. Et ce ne sont là que quelques exemples. Il n’existe pas d’environnement qui ne traite aucune donnée à caractère personnel.

Quels sont les risques pour la sécurité de ces informations ? Cela dépend beaucoup de l’endroit où vous conservez les données ou, dans notre jargon, de la « technologie utilisée ».

  • Si vous travaillez avec des dossiers sur papier, ces dossiers et fichiers sont-ils ouverts et exposés sur votre bureau ou sous clé dans une armoire ? Il est important de savoir qui a accès à votre bureau et qui peut ouvrir cette armoire. Fermez-vous la porte quand vous partez ? Rangez-vous votre bureau ?
  • S’il s’agit d’un fichier informatique, les questions sont en fait les mêmes, mais les réponses sont plus complexes. Vous travaillez peut-être localement sur un ordinateur portable. Est-il protégé par un mot de passe ? Êtes-vous le seul à connaître ce mot de passe ? Avez-vous enregistré les informations confidentielles dans un dossier lui-même protégé par un mot de passe ? Si vous emportez votre ordinateur portable en dehors de l’entreprise, est-il protégé ? Le laissez-vous parfois dans la voiture ? Où le rangez-vous chez vous ?
  • Si les données ne sont pas enregistrées localement, mais sur un serveur, la situation est à nouveau différente. Tous les utilisateurs du serveur ont-ils accès à toutes les données ? Est-ce vraiment nécessaire ? Le serveur ne peut-il pas être scindé en zones, avec des autorisations spécifiques attribuées aux différents utilisateurs ou groupes ? Faites-vous un back-up du serveur ? Où ce back-up est-il conservé ? Est-ce qu’une entreprise informatique se charge de la maintenance du parc de serveurs ? Cette entreprise a-t-elle accès à toutes les données ? Avez-vous convenu avec eux de ce qu’ils peuvent faire et ne pas faire, même s’ils ont en fait tous les droits (parce qu’ils en ont besoin pour s’acquitter de leur tâche) ?
  • Vos données sont peut-être enregistrées dans le cloud. Où se trouvent-elles et qui y a accès ? Quelles sont les garanties du cloud provider ? Les données sont peut-être enregistrées à l’étranger, voire hors Europe, donc hors de la protection du GDPR. La transmission des données est-elle sécurisée ?
  • Les images des caméras de sécurité sont-elles enregistrées et conservées ? Combien de temps les gardez-vous ? Qui peut les visionner et dans quelles circonstances sont-elles réellement visionnées ?

Comme ces questions le suggèrent, vous pouvez, pour chacune de ces situations, prendre des mesures pour réduire les risques d’infraction. Les exemples montrent également que les risques varient en fonction du contenu précis des fichiers. S’il s’agit de simples coordonnées, une atteinte à la confidentialité n’aura pas un impact important. Par contre, il en va différemment s’il s’agit de certaines données à caractère personnel. Si vous travaillez dans le domaine de la santé, par exemple, et conservez des données sensibles de patients ou de clients – des données médicales, par conséquent – une protection beaucoup plus stricte est nécessaire, car une atteinte à la confidentialité ou à l’intégrité de ces données pourrait avoir des conséquences beaucoup plus graves. En fonction de l’ampleur de votre base de données, l’impact est également plus grand, car les données concernent un plus grand nombre de personnes. Les mesures que vous prenez pour chacun des risques énumérés doivent toujours être proportionnelles à l’évaluation du risque.

Il est dès lors logique que le GDPR impose d’importantes obligations aux personnes qui utilisent des catégories spéciales de données et aux organisations dont l’activité principale est le traitement de données à caractère personnel. Dans certains cas, il convient de réaliser une Data Privacy Impact Analyse (DPIA) formelle et de la présenter à la Commission Vie privée avant le début du traitement.

Indépendamment de cela, nous recommandons à toute entreprise ou organisation d’effectuer, grosso modo, le même exercice. Afin de pouvoir démontrer à tout moment que vous gérez les données à caractère personnel en connaissance de cause, il est indiqué de consigner les résultats de cette analyse. Des logiciels spécialisés et des méthodologies spécifiques peuvent vous y aider, mais dans bon nombre de cas, ce n’est pas nécessaire. Les deux colonnes évoquées plus haut, ajoutées à un simple registre des traitements des données, vous apportent déjà beaucoup, pour autant qu’elles soient soigneusement remplies.

Dans le prochain article, nous approfondirons les différents domaines dans lesquels vous pouvez prendre des mesures de protection pour conserver et traiter en toute sécurité les données à caractère personnel.

 

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING