Toute entreprise doit assurer la sécurité des données personnelles qu'elle a collectées (données de clients, de fournisseurs, d'employés, etc.). Pour garantir un niveau de sécurité adapté au risque, de nombreuses mesures techniques et organisationnelles sont nécessaires.
À savoir
La Cnil met à disposition un guide pratique sur la sécurisation des données.
Recenser les traitements de données
Le responsable du traitement doit recenser les traitements de données personnelles (automatisés ou non) et les supports sur lesquels ces traitements reposent, c'est-à-dire :
-
les matériels (ex. : serveurs, ordinateurs portables, disques durs)
-
les logiciels (ex. : systèmes d'exploitation, logiciels métier)
-
les canaux de communication logiques ou physiques (ex. : fibre optique, Wi-Fi, Internet, échanges verbaux, coursiers)
-
les supports papier (ex. : documents imprimés, photocopies)
-
les locaux et installations physiques où se situent les éléments précédemment cités (ex. : locaux informatiques, bureaux).
Apprécier les risques liés à chaque traitement
Ce recensement permet d'apprécier les risques engendrés par chaque traitement, notamment :
-
Accès illégitime à des données (ex : usurpation d'identité consécutive à la divulgation des fiches de paie de l'ensemble des salariés d'une entreprise)
-
Modification non désirée de données (ex : accusation à tort d'une personne d'une faute ou d'un délit suite à la modification de journaux d'accès)
-
Disparition de données (ex : non-détection d'une interaction médicamenteuse du fait de l'impossibilité d'accéder au dossier électronique du patient).
Le responsable du traitement doit identifier les sources de risques en prenant en compte des sources humaines (ex : administrateur informatique, utilisateur, attaquant externe, concurrent) et non humaines (ex : eau, épidémie, matériaux dangereux, virus informatique non ciblé).
Il doit également estimer la gravité et la vraisemblance des risques (exemple d'échelle utilisable pour l'estimation : négligeable, modérée, importante, maximale) pour ainsi déterminer les mesures à même de traiter chaque risque (ex : contrôle d'accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
Sensibiliser les utilisateurs
Le responsable du traitement doit sensibiliser les utilisateurs sur les enjeux en matière de sécurité et de vie privée. Pour ce faire, il peut organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les personnes selon leurs fonctions, faire des rappels par messagerie électronique, etc.
Le responsable doit documenter les procédures d'exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données personnelles, qu'il s'agisse d'une opération d'administration ou de la simple utilisation d'une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d'utilisateurs, dans des documents auxquels ces derniers peuvent se référer.
De plus, il doit rédiger une charte informatique, annexée au règlement intérieur, comportant les informations suivantes :
-
Règles de protection des données et sanctions encourues en cas de manquement
-
Champ d'application de la charte (ex : modalités d'intervention des équipes chargées de la gestion des données, moyens d'authentification, règles de sécurité)
-
Modalités d'utilisation des moyens informatiques mis à disposition (poste de travail, espace de stockage, accès à internet, messagerie électronique...)
-
Conditions d'administration du système d'information
-
Responsabilités et sanctions encourues en cas de non respect de la charte.
À noter
Il peut être judicieux de prévoir la signature d'un engagement de confidentialité, ou de prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données personnelles. Un modèle d'engagement de confidentialité est mis à disposition par la Cnil.
Modèle d'engagement de confidentialité sur les données
Je soussigné/e Monsieur/Madame __________, exerçant les fonctions de _______ au sein de la société ________ (ci-après dénommée " la Société "), étant à ce titre amené/e à accéder à des données à caractère personnel, déclare
reconnaître la confidentialité desdites données.
Je m'engage par conséquent, conformément à l'article 32 du règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes à l'état de l'art et aux règles internes dans le cadre de mes attributions
afin de protéger la confidentialité des informations auxquelles j'ai accès, et en particulier d'empêcher qu'elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.
Je m'engage en particulier à :
-
ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes attributions ;
-
ne divulguer ces données qu'aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu'il s'agisse de personnes privées, publiques, physiques ou morales ;
-
ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l'exécution de mes fonctions ;
-
prendre toutes les mesures conformes à l'état de l'art et aux règles internes dans le cadre de mes attributions afin d'éviter l'utilisation détournée ou frauduleuse de ces données ;
-
prendre toutes précautions conformes à l'état de l'art et aux règles internes pour préserver la sécurité physique et logique de ces données ;
-
m'assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;
-
en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques et tout support d'information relatif à ces données.
Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif, sans limitation de durée, après la cessation de mes fonctions, quelle qu'en soit la cause, dès lors que cet engagement concerne l'utilisation
et la communication de données à caractère personnel.
J'ai été informé que toute violation du présent engagement m'expose à des sanctions disciplinaires et pénales conformément à la règlementation en vigueur, notamment au regard des articles 226-13 et 226-16 à 226-24 du code pénal.
Fait à _____, le jj/mm/aaaa, en X exemplaires
Nom :
Signature :
Authentifier les utilisateurs
Pour assurer qu'un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d'un identifiant qui lui est propre et doit s'authentifier avant toute utilisation des moyens informatiques.
Une précaution indispensable consiste à définir un identifiant unique par utilisateur et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l'utilisation d'identifiants génériques ou partagés est incontournable, il est nécessaire de mettre œuvre les mesures suviantes :
-
Exiger une validation de la hiérarchie
-
Mettre en œuvre des moyens pour tracer les actions associées à ces identifiants
-
Renouveler le mot de passe dès qu'une personne n'a plus besoin d'accéder au compte.
À noter
En cas d'authentification des utilisateurs basée sur des mots de passe, il est conseillé de suivre les recommandations de la Cnil.
Gérer l'habilitation des utilisateurs
Le responsable du traitement doit gérer l'habilitation des utilisateurs afin de limiter leur accès aux seules données dont ils ont besoin pour l'accomplissement de leurs missions.
Le responsable est d'abord amené à définir des profils d'habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité et faire valider toute demande d'habilitation par un responsable (ex : supérieur hiérarchique, chef de projet).
Il est impératif de supprimer les permissions d'accès des utilisateurs dès qu'ils ne sont plus habilités à accéder à un local ou à une ressource informatique (ex : changement de mission ou de poste), ainsi qu'à la fin de leur contrat.
À noter
Il est recommandé de réaliser une revue régulière des habilitations (au moins une fois par an) pour identifier et supprimer les comptes non utilisés et réaligner les droits accordés sur les fonctions de chaque utilisateur.
Tracer les opérations
Le responsable du traitement doit également tracer les opérations afin de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l'intégrité ou la disponibilité).
Pour ce faire, il est nécessaire de mettre en place un système de journalisation, c'est-à-dire un enregistrement des activités métier des utilisateurs, des interventions techniques (y compris par les administrateurs), des anomalies et des événements liés à la sécurité.
Le responsable du traitement doit s'assurer que les gestionnaires de l'enregistrement des opérations lui notifient toute anomalie ou tout incident de sécurité, dans les plus brefs délais.
Sécuriser les postes de travail et l'informatique mobile
Les risques d'intrusion dans les systèmes informatiques sont importants. Le responsable du traitement doit protéger les postes de travail qui constituent un des principaux points d'entrée.
Afin de prévenir les accès frauduleux, l'exécution de virus ou les prises de contrôle malveillantes à distance, le responsable du traitement doit prendre les précautions suivantes :
-
Prévoir un mécanisme de verrouillage automatique de session en cas de non-utilisation du poste pendant un temps donné
-
Installer un " pare-feu " (" firewall ") logiciel sur le poste et limiter l'ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail
-
Utiliser des antivirus régulièrement mis à jour et prévoir une politique de mise à jour régulière des logiciels
-
Effacer de façon sécurisée les données présentes sur un poste avant sa réaffectation à une autre personne.
Les pratiques de travail hors des locaux (ex : déplacements, télétravail) comportent des risques spécifiques liés à l'usage d'ordinateurs portables, de clés USB ou encore de smartphones. Il est donc indispensable d'anticiper l'atteinte à la sécurité des données à l'extérieur des locaux.
Le responsable du traitement doit sensibiliser les utilisateurs aux risques spécifiques liés à l'utilisation d'outils informatiques mobiles (ex : vol de matériel, risques liés à la connexion aux réseaux publics) et imposer l'utilisation d'un VPN à authentification forte.
Il est également recommandé de prévoir des moyens de chiffrement des postes nomades et des supports de stockage mobiles (ex : ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW), tels que :
-
Le chiffrement du disque dur (de nombreux systèmes d'exploitation intègrent une telle fonctionnalité)
-
Le chiffrement fichier par fichier
-
La création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés.
Sauvegarder et archiver les données
Le responsable du traitement doit effectuer des sauvegardes régulières pour limiter l'impact d'une disparition ou d'une altération non désirée de données. Il est également recommandé de stocker au moins une sauvegarde sur un site extérieur et d'isoler une sauvegarde hors ligne, déconnectée du réseau de l'entreprise.
Par ailleurs, le responsable doit archiver les données qui ne sont plus utilisées au quotidien mais qui n'ont pas encore atteint leur durée limite de conservation, par exemple parce qu'elles sont conservées afin d'être utilisées en cas de litige.
Pour ce faire, il doit définir un processus de gestion des archives qui appelent plusieurs questions, notamment :
-
Quelles données doivent être archivées ?
-
Comment et où sont-elles stockées ?
-
Quelles sont les modalités d'accès spécifiques aux données archivées ? (l'utilisation d'une archive doit intervenir de manière ponctuelle et exceptionnelle)
-
S'agissant de la destruction des archives, quel mode opératoire faut-il choisir pour garantir que l'intégralité d'une archive a été détruite ?
Gérer la sous-traitance
Les traitements de données réalisés par un sous-traitant pour le compte du responsable de traitement doivent bénéficier de garanties suffisantes, notamment en matière de sécurité.
Il est impératif de faire appel uniquement à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources. Le responsable doit exiger la communication par le prestataire de sa politique de sécurité des systèmes d'information et de ses éventuelles certifications.
Un contrat de sous-traitance doit définir l'objet, la durée, la finalité du traitement ainsi que les obligations des parties, notamment en termes de sécurité des traitements. Il doit contenir des dispositions fixant les éléments suivants :
-
Répartition des responsabilités et des obligations en matière de confidentialité des données personnelles confiées
-
Contraintes minimales en matière d'authentification des utilisateurs
-
Conditions de restitution et de destruction des données en fin du contrat
-
Règles de gestion et de notification des incidents. Celles-ci doit comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d'incident de sécurité.
Évaluer la sécurité des données
Les mesures permettant de garantir la sécurité des données étant nombreuses, il est opportun d'évaluer le niveau de sécurité des données personnelles de l'entreprise. La CNIL met à disposition une grille d'évaluation.
Les mesures techniques et organisationnelles mises en œuvre par le responsable de traitement doivent être appropriées, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (dont le degré de probabilité et de gravité varie) pour les droits et libertés des personnes.
En cas de violation de données (ex : divulgation non autorisée, accès irrégulier), le responsable de traitement doit être en mesure de prouver qu'il a pris les mesures de sécurité adéquates.