Si l’aspect juridique du RGPD est fondamental, tout un pan (section 2 chapitre 4 RGPD) concernant la sécurité des données à caractère personnel y est développé et comporte une nécessité tout aussi essentielle.
Pourquoi ? Car collecter les données conformément au RGPD c’est bien ; mais quid en cas de cyberattaque du lieu de stockage de cette collection ? A quoi bon recueillir des données conformément à un texte si vous ne garantissez pas qu’une fois collectées ces données sont en lieu sûr ?
Qui est concerné ?
Le Chapitre 4 section 2 du RGPD relatif au responsable du traitement et au sous-traitant, énonce dans son article 32 que ces deux organes sont les débiteurs de cette obligation de sécurité.
Ainsi soumis à cette lourde obligation concernant les données en leur possession, ils doivent prendre les mesures nécessaires pour garantir conformément aux dispositions du RGPD la sécurité des données qu’ils ont collecté.
Le risque, un critère discriminant
L’article 32 du RGPD énonce que des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » doivent être prises.
Que retenir de cet article ? L’idée est que toutes les données et tous les traitements ne présentent pas le même degré de risque.
De fait, il était nécessaire d’introduire une proportionnalité entre les risques encourus et le niveau de sécurité à mettre en place. Cela afin de mettre en œuvre une protection adéquate des données (à quoi bon tuer un insecte avec un bazouka ? … )
Déterminer le risque
En application des conseils donnés par la CNIL concernant la sécurisation des données, 4 éléments vont devoir être étudiés pour pouvoir mettre en place une gestion des risques adéquate à vos besoins :
Recensement des traitements de données à caractère personnel
Il vous appartient de tenir un registre grâce auquel vous recensez l’ensemble des traitements que vous effectuez. Sur ce registre doivent se retrouver les informations suivantes :
- Les traitements de données effectués (contrats, gestion, fichier client…)
- Leur caractère automatisé ou non
- Les supports de ces données (papier, logiciels, matériels…)
Si cette étape parait fastidieuse, elle n’en est pas pour autant moins fondamentale. En effet, elle va vous permettre de faire un état des lieux de vos données. Ainsi, vous protégez vos données par catégorie ce qui, in fine, vous fera gagner du temps !
Appréciation des risques
Pour apprécier le risque et son intensité la CNIL conseille l’évaluation de 5 points
- Les impacts éventuels sur les droits et libertés des personnes en cas :
- D’accès illégitime aux données
- Modification non voulue / autorisée des données
- Disparition des données (la CNIL donne l’exemple d’une interaction médicamenteuse en raison de l’impossibilité d’accéder aux données d’un patient)
- Les sources de risque. Autrement dit qui / quoi peut provoquer le risque ?
- Les menaces réalisables. Sur chaque menace identifiée vous devez vous poser la question de savoir qu’est-ce qui peut rendre cette menace réalisable (les supports en eux-mêmes, leur utilisation, une personne…)
- Les mesures existantes ou prévues pour protéger les données.
- L’ensemble de ces éléments va vous permettre d’établir une proportionnalité entre la gravité du risque encouru et la vraisemblance que ce risque se réalise (idée du PIA).
Pour quoi ? Pour mettre en place des mesures de protection et garantir la sécurité de vos données.
Les palliatifs aux risques : les mesures techniques et organisationnelles
Les mesures organisationnelles peuvent être entendues comme les mesures qui vont, au niveau de l’organisation de votre entreprise, garantir la protection des données en votre possession.
En pratique : sensibiliser vos équipes en fonction des données qu’ils traitent, changer les mots de passe, garantir un accès limité à certaines données les plus sensibles, renforcer l’accès à vos bases de données…
Les mesures techniques sont celles qui interviennent réellement au niveau informatique pour la protection de vos données. C’est par exemple sécuriser les postes de travail, protéger votre réseau informatique interne / mobile, sécuriser vos serveurs…
Pour ce faire, certaines solutions de protection sont données par la CNIL comme le chiffrement.
Ne prenez pas de risque inutile, les sanctions peuvent maintenant aller jusqu’à 20 000 000 d’euros ou 4% du chiffre affaire mondial annuel …
Pour aller plus loin : Comment protéger mes sites et applications web de manière sûre et prouver ma bonne foi ?
Plus qu’une protection des données, le scanner de vulnérabilités SECURITY by HTTPCS protège votre site ou votre application web. Grâce aux failles de sécurités remontées et aux mesures correctives qui vous sont par la suite indiquées, vos données sont protégées de toute attaque malveillante.
