GDPR (15) Mesures pour la protection des données à caractère personnel

1 décembre 2017

Dans l’article précédent, nous avons évoqué l’importance d’une analyse d’impact. L’ampleur du risque détermine les mesures de sécurité nécessaires. Aujourd’hui, nous allons évoquer ces mesures. Il est évident qu’une petite entreprise ne devra pas agir de la même façon qu’une grande organisation. Il est toutefois intéressant de présenter brièvement la trame d’un système tel qu’ISO 27001, car la réflexion et la logique à suivre restent les mêmes.

Les premiers éléments d’ISO 27001 concernent la politique et l’organisation. Vous devez formuler les points de départ de votre politique. Deux phrases peuvent suffire. L’utilisation des données à caractère personnel doit être légale et avoir un but légitime. Vous devez protéger les données de façon adéquate. La constitution de cette politique incombe au dirigeant d’entreprise. Il peut déléguer cette tâche, mais il demeure responsable et doit évaluer chaque année l’efficacité de sa politique.

Viennent ensuite des mesures dans plusieurs domaines, qui doivent être interprétées de l’une ou l’autre manière en fonction du type d’entreprise ou d’organisation :

  • Personnel (sélection / formation & sensibilisation / départ) :
    • Lors de l’engagement, accordez de l’attention au sens des responsabilités de vos collaborateurs.
    • Si vous traitez des données sensibles, demandez un extrait de casier judiciaire (que vous devez ensuite traiter lui aussi comme une information sensible !)
    • Reprenez une clause de confidentialité dans le contrat de travail. Il peut s’agir d’une simple phrase : « Toutes les données à caractère personnel utilisées par le travailleur dans son environnement de travail sont confidentielles et ne peuvent être utilisées que dans le cadre de la tâche réalisée ».
    • Formez régulièrement vos collaborateurs (et vous-même) au sujet de la protection des données.
    • Veillez à ce qu’un collaborateur qui quitte l’entreprise n’ait plus accès aux données et ne conserve pas de ressources de l’entreprise (en ce compris des données sur papier ou au format numérique).
  • Classification et utilisation de ressources :
    • Établissez un registre des traitements subis par les données et complétez-le par une analyse des risques.
    • Faites attention aux supports amovibles (comme les clés USB contenant des données) et aux appareils transportés. Évitez que les données ne se retrouvent entre de mauvaises mains.
  • Droits d’accès :
    • Paramétrez des mots de passe suffisamment complexes et veillez à ce qu’ils restent strictement personnels.
    • Vos collaborateurs ne doivent avoir accès qu’aux informations nécessaires à l’exercice de leur fonction. Travaillez à cet effet avec des « groupes de fonction ».
    • Limitez les droits d’administrateur sur les systèmes aux personnes compétentes.
  • Cryptographie :
    • Le GDPR promeut explicitement le cryptage des données comme mesure de protection. C’est particulièrement indiqué pour l’échange de données et la conservation de longue durée.
    • Exemples : protocole https sur les sites web, protocole sftp pour le transfert de données, cryptage des e-mails, etc.
    • Un partenaire ICT peut vous aider. Mais n’oubliez pas de conclure de bons accords avec ce partenaire, afin qu’il ne devienne pas un nouveau risque pour la sécurité !
  • Protection physique :
    • Activez un écran de veille sécurisé sur votre ordinateur lorsque vous n’êtes pas à votre poste.
    • En fin de journée, ne laissez pas traîner de documents (« clean desk »).
    • Établissez un plan de verrouillage des bureaux (et des armoires).
    • Vous avez peut-être besoin de grillages, d’un système d’alarme, de caméras de surveillance ou d’un système de badges (et de zones distinctes dans vos bâtiments).
    • Protégez vos appareils contre les coupures de courant. Évitez les pannes.
    • Accompagnez toujours vos visiteurs et communiquez-leur vos directives en matière de confidentialité.
    • Accordez une attention particulière aux locaux renfermant des données sensibles, comme une salle de serveurs ou une salle d’archives avec des dossiers confidentiels.
  • Protection du réseau :
    • Protégez votre réseau contre les risques extérieurs à l’aide d’un pare-feu, d’un antivirus et d’une filtration du contenu.
    • Scindez les plus grands réseaux en zones. Évitez les pannes des systèmes. Contrôlez et consignez les activités sur le réseau.
  • Mesures de sécurité pour le développement d’applications ou de systèmes :
    • Séparez l’environnement de test et la production, et rédigez un règlement pour les transferts.
    • Réfléchissez toujours au préalable à la sécurité des systèmes et testez-la avant utilisation.
  • Contrôle sur les traitements par des tiers :
    • Convenez de dispositions contractuelles sur la sécurité et la confidentialité des données avec vos fournisseurs.
    • Évaluez le fonctionnement de votre fournisseur et assurez-en un suivi régulier.
  • Continuité :
    • Limitez le risque de panne des systèmes par une bonne maintenance et par la redondance.
    • Prévoyez des copies de sécurité des données et établissez un plan de restauration de vos systèmes en cas de problèmes graves.
  • Gestion des incidents :
    • Enregistrez toujours les incidents qui comportent un risque d’atteinte à la confidentialité des données.
    • En cas de fuite de données ayant un impact, vous avez un devoir de notification.
  • Audits :
    • Vérifiez si votre sécurité est efficace et faites-la évaluer.

Les mesures énumérées ci-dessus ne sont que des exemples. Leur interprétation sera différente chez chacun. Toutefois, cet aperçu peut constituer une aide précieuse pour n’oublier aucun domaine dans lequel vous pouvez activement limiter les risques. Nous développerons quelques aspects dans les prochains articles, car le GDPR y accorde une attention particulière. C’est notamment le cas du contrôle des sous-traitants ou d’autres tiers, et de vos obligations en cas de fuite de données.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING