Assurer la Sécurité des Données Personnelles selon le RGPD : Une Approche par les Risques

Notez ce point juridique

Pour garantir la sécurité des données personnelles conformément au RGPD, il est essentiel d’adopter une approche basée sur l’évaluation des risques. Voici comment procéder :

Sommaire

Identification des Risques

Avant de déterminer les moyens appropriés pour réduire les risques, le responsable du traitement doit identifier les risques sur la vie privée des personnes concernées générés par son traitement. Cette étape nécessite une vision globale et une étude approfondie des conséquences sur les personnes concernées.

Évaluation du Niveau de Sécurité

La CNIL propose un guide de sécurité des données personnelles, comprenant des fiches thématiques présentant les précautions élémentaires à mettre en place pour améliorer la sécurité des traitements de données. Cependant, pour des traitements complexes ou à risques élevés, une évaluation plus approfondie est nécessaire.

Analyse d’Impact Relative à la Protection des Données (AIPD)

L’AIPD est un outil d’évaluation d’impact sur la vie privée reposant sur deux piliers : les principes et droits fondamentaux fixés par la loi et la gestion des risques sur la vie privée des personnes concernées. Cette analyse permet de déterminer les mesures techniques et organisationnelles appropriées pour protéger les données personnelles.

Différence entre Sécurité de l’Information et Protection de la Vie Privée

La sécurité de l’information vise à protéger l’organisme des atteintes liées à son patrimoine informationnel, tandis que la protection de la vie privée vise à protéger les personnes des atteintes liées à leurs données. Ces deux approches sont complémentaires.

Méthode en Quatre Étapes Proposée par la CNIL

La CNIL propose une méthode en quatre étapes pour assurer la sécurité des données personnelles :

  1. Étude du contexte
  2. Étude des mesures existantes ou prévues
  3. Étude des risques liés à la sécurité des données
  4. Validation des mesures prévues ou itération des étapes précédentes

Catalogue de Bonnes Pratiques

Il convient en premier lieu de mettre en place un catalogue de bonnes pratiques aide à déterminer des mesures proportionnées aux risques identifiés, en agissant sur les éléments à protéger, les impacts potentiels, les sources de risques et les supports.

Les 12 règles essentielles pour sécuriser vos données personnelles

La sécurité des données personnelles est une préoccupation majeure dans un monde de plus en plus connecté.

Que ce soit dans un cadre professionnel ou personnel, il est essentiel d’adopter des pratiques de sécurité robustes pour protéger vos informations sensibles. Voici les 12 règles essentielles recommandées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Confédération des Petites et Moyennes Entreprises (CPME) pour garantir la sécurité de vos données.

1. Choisir avec soin ses mots de passe

Le choix de mots de passe robustes et uniques pour chaque compte est une première étape cruciale dans la sécurisation de vos données. Optez pour des mots de passe complexes, composés de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.

2. Mettre à jour régulièrement vos logiciels

Les mises à jour de logiciels contiennent souvent des correctifs de sécurité vitaux pour protéger vos systèmes contre les dernières menaces. Assurez-vous de maintenir à jour tous vos logiciels, y compris les systèmes d’exploitation, les applications et les programmes antivirus.

3. Bien connaître ses utilisateurs et ses prestataires

Maîtriser l’accès à vos données en identifiant clairement les utilisateurs autorisés et en surveillant les activités des prestataires tiers qui ont accès à vos systèmes.

4. Effectuer des sauvegardes régulières

La réalisation de sauvegardes régulières de vos données est essentielle pour garantir leur disponibilité en cas de panne, de vol ou de catastrophe. Assurez-vous que vos sauvegardes sont stockées en toute sécurité et testez régulièrement leur restauration.

5. Sécuriser l’accès Wi-Fi de votre entreprise

Protégez votre réseau Wi-Fi en utilisant un chiffrement fort, en désactivant le SSID broadcast et en utilisant des mots de passe complexes pour l’accès à votre réseau sans fil.

6. Être aussi prudent avec son ordiphone (smartphone) ou sa tablette qu’avec son ordinateur

Les appareils mobiles sont souvent utilisés pour accéder à des données sensibles. Appliquez les mêmes mesures de sécurité à vos smartphones et tablettes qu’à vos ordinateurs, y compris l’utilisation de mots de passe forts et de solutions de chiffrement.

7. Protéger ses données lors de ses déplacements

Lorsque vous voyagez avec des appareils contenant des données sensibles, assurez-vous qu’ils sont protégés par des mesures de sécurité telles que le chiffrement des données et l’activation des fonctions de suivi à distance.

8. Être prudent lors de l’utilisation de sa messagerie

Évitez d’ouvrir des pièces jointes ou des liens provenant de sources non fiables, car ils pourraient contenir des logiciels malveillants ou des tentatives de phishing visant à voler vos informations.

9. Télécharger ses programmes sur les sites officiels des éditeurs

Pour éviter les logiciels malveillants, téléchargez toujours des programmes et des applications à partir de sources officielles et vérifiées.

10. Être vigilant lors d’un paiement sur Internet

Lorsque vous effectuez des paiements en ligne, assurez-vous d’utiliser des sites sécurisés (https) et évitez de stocker des informations de paiement sur des sites non sécurisés ou publics.

11. Séparer les usages personnels des usages professionnels

Maintenir une séparation stricte entre vos activités personnelles et professionnelles peut aider à réduire les risques de compromission des données sensibles.

12. Prendre soin de ses informations personnelles, professionnelles et de son identité numérique

Soyez conscient des informations que vous partagez en ligne et prenez des mesures pour protéger votre identité numérique, en utilisant des paramètres de confidentialité appropriés sur les réseaux sociaux et en évitant de divulguer des informations personnelles sensibles en ligne.

Sécurité des données personnelles : les Obligations Légales

Selon l’article 32 du RGPD et l’article 121 de la loi Informatique et Libertés, le responsable du traitement est tenu de prendre toutes les précautions utiles pour préserver la sécurité des données, en fonction de la nature des données et des risques présentés par le traitement.

Les mesures d’hygiène en matière de sécurité des données personnelles sont cruciales pour garantir la protection et la confidentialité des informations sensibles conformément aux exigences du RGPD (Règlement Général sur la Protection des Données). Voici un aperçu des principes clés à prendre en compte :

1. Adapter la sécurité aux risques

La sécurité des données personnelles doit être proportionnée aux risques encourus par le traitement de ces données. Par exemple, un fichier de membres d’une association sportive nécessite moins de sécurité qu’une base de données médicales contenant des informations sensibles sur la santé des individus.

2. Identifier les risques

Les risques liés à la sécurité des données personnelles comprennent les accès non autorisés (atteinte à la confidentialité), les modifications non désirées (atteinte à l’intégrité) et les disparitions de données (atteinte à la disponibilité). Il est essentiel d’identifier les sources potentielles de ces risques, qu’elles soient internes (employés, visiteurs) ou externes (attaquants malveillants, concurrents).

3. Prendre en compte les diverses menaces

Les menaces à la sécurité des données peuvent être accidentelles ou délibérées. Elles peuvent provenir de diverses sources telles que les pannes matérielles, les sinistres naturels, les erreurs humaines ainsi que les attaques informatiques orchestrées par des acteurs malveillants. Il est important de mettre en place des mesures de sécurité adaptées pour prévenir, détecter et répondre à ces menaces.

4. Utiliser des techniques de protection appropriées

La pseudonymisation et le chiffrement sont des exemples de techniques de protection des données qui peuvent être mises en œuvre pour renforcer la sécurité. Cependant, il est crucial de comprendre que ces mesures ne sont que des éléments parmi d’autres à considérer. D’autres mesures telles que la gestion des accès, la sauvegarde régulière des données et la sensibilisation des employés aux bonnes pratiques en matière de sécurité sont également essentielles.

Sanctions pour non-conformité

L’obligation de sécurité des données personnelles est prévue à l’article 32 du RGPD. Les sanctions pour non-conformité peuvent être très lourdes, pouvant atteindre jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise responsable du traitement. Il est donc impératif pour les organisations de prendre au sérieux la sécurité des données personnelles et de mettre en œuvre des mesures appropriées pour se conformer aux exigences légales.

Les Guides PIA de la CNIL

La CNIL propose une méthode, des études de cas et un catalogue de bonnes pratiques pour mener une analyse d’impact sur la protection des données.

Elle propose également un outil pour faciliter la mise en oeuvre de cette analyse :

Analyse d’impact relative à la protection des données (AIPD) 1 : la méthode

Analyse d’impact relative à la protection des données (AIPD) 2 : les modèles

Analyse d’impact relative à la protection des données (AIPD) 3 : les bases de connaissances

Analyse d’impact relative à la protection des données (AIPD) : étude de cas « Captoo »

Analyse d’impact relative à la protection des données : application aux objets connectés

Le Logiciel de la CNIL

Pensez également à télécharger le logiciel open source PIA de la CNIL qui facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.

Le Logiciel PIA de la CNIL : Un Outil pour Piloter les Études d’Impact

Le logiciel PIA (Privacy Impact Assessment) de la CNIL est un outil conçu pour accompagner les responsables de traitement dans la mise en œuvre des obligations du RGPD, notamment en facilitant la réalisation des analyses d’impact relatives à la protection des données (AIPD), obligatoires pour certains traitements. Voici un aperçu de cet outil :

À qui s’adresse l’outil PIA ?

L’outil PIA s’adresse principalement aux responsables de traitement qui ne sont pas familiers avec la démarche d’AIPD. Il offre une version « prête à l’emploi » et peut être facilement lancé sur un poste de travail. Il peut également être déployé sur des serveurs pour être intégré dans les outils déjà utilisés en interne dans une entreprise.

Qu’est-ce que l’outil PIA ?

Le logiciel PIA se compose de trois axes principaux pour aider à suivre la méthode AIPD développée par la CNIL :

1. Modularité :

L’outil est modulaire, ce qui permet de l’adapter aux besoins spécifiques ou au secteur d’activité de l’utilisateur. Il est possible de créer un modèle d’AIPD pouvant être dupliqué et utilisé pour des traitements similaires. Le code source de l’outil est publié sous licence libre, ce qui permet d’ajouter des fonctionnalités ou de l’intégrer à des outils existants en interne.

2. Interface Didactique :

L’interface du logiciel est ergonomique, facilitant la gestion de toutes les analyses d’impact. Elle guide clairement l’utilisateur à travers la méthode d’analyse d’impact de la CNIL, en s’assurant qu’aucune étape n’est oubliée. Des outils de visualisation permettent de comprendre rapidement l’état des risques du traitement étudié.

3. Base de Connaissances :

L’outil inclut les aspects juridiques garantissant la légalité du traitement, ainsi que les mesures de protection des droits des personnes concernées. Il dispose également d’une base de connaissances accessible à tout moment lors de la réalisation de l’analyse. Les contenus sont conformes au RGPD et aux guides AIPD de la CNIL, s’adaptant aux éléments étudiés du traitement.

En utilisant le logiciel PIA, les responsables de traitement peuvent donc faciliter la réalisation des AIPD, assurant ainsi une meilleure conformité aux obligations du RGPD en matière de protection des données personnelles.

Sécurité des données personnelles : faut-il adopter la Norme ISO 27701 ?

La norme ISO 27701, publiée en août 2019, constitue une avancée majeure dans le domaine de la protection des données personnelles.

Elle se base sur deux normes ISO de sécurité de l’information (ISO 27001 et ISO 27002) et les étend pour intégrer spécifiquement la protection des données personnelles. Voici un aperçu des exigences et des implications de cette norme :

Étendue et Exigences de l’ISO 27701

La norme ISO 27701 élargit le système de management de la sécurité de l’information pour inclure les particularités des traitements de données personnelles. Elle impose notamment :

  • La détermination du rôle de l’organisme à certifier (responsable de traitement, sous-traitant).
  • La gestion unifiée des risques informatiques et des risques pour la vie privée des personnes concernées.
  • La désignation d’un responsable pour la protection de la vie privée (équivalent du délégué à la protection des données dans le cadre de l’ISO 27701).
  • La sensibilisation des personnels, la classification des données, la protection des supports amovibles, la gestion des accès et le chiffrement des données, entre autres.
  • La conformité aux exigences légales et réglementaires.

Elle introduit également des mesures spécifiques aux traitements de données personnelles, en tenant compte du rôle de l’organisme (responsable de traitement, sous-traitant, sous-traitant de sous-traitant). Ces mesures englobent notamment les principes fondamentaux de traitement des données, les droits des personnes, et la protection de la vie privée dès la conception et par défaut (privacy by design and by default).

Contributions et Portée

La norme ISO 27701 a été rédigée avec les contributions d’experts internationaux et de nombreuses autorités de protection des données, dont la CNIL. Elle intègre les exigences du RGPD ainsi que d’autres législations nationales et internationales sur la protection des données.

Elle ne se limite pas au RGPD et a une portée mondiale. Bien qu’elle ne constitue pas une certification au sens de l’article 42 du RGPD, elle permet aux organismes qui l’adoptent de monter en maturité et de démontrer une démarche active de protection des données personnelles.

En somme, l’ISO 27701 représente l’état de l’art en matière de protection de la vie privée et offre aux organisations un cadre robuste pour renforcer leur sécurité des données personnelles et leur conformité aux réglementations en vigueur.

A savoir : les normes ISO sont contrôlées et gérées par l’Organisation internationale de normalisation (ISO) ainsi que par ses membres nationaux et les comités techniques responsables de l’élaboration des normes. Voici comment cela fonctionne :

  1. Processus d’élaboration : Les normes ISO sont élaborées par des comités techniques composés d’experts de divers pays membres de l’ISO. Ces experts représentent des parties prenantes telles que des gouvernements, des industries, des organismes de réglementation, des groupes de consommateurs et des organismes de normalisation. Ils travaillent ensemble pour rédiger et réviser les normes ISO dans un processus de consensus.
  2. Révision et mise à jour : Les normes ISO sont régulièrement révisées et mises à jour pour s’assurer qu’elles restent pertinentes et alignées sur les meilleures pratiques et les évolutions technologiques. Les comités techniques surveillent les développements dans leur domaine d’expertise et proposent des révisions aux normes existantes ou de nouvelles normes lorsque nécessaire.
  3. Contrôle de la qualité : Pendant le processus d’élaboration, les normes ISO font l’objet d’un examen minutieux pour garantir leur qualité et leur pertinence. Les comités techniques veillent à ce que les normes répondent aux besoins du marché, soient techniquement précises, claires et cohérentes.
  4. Approbation finale : Une fois rédigée et examinée, une norme ISO est soumise à un processus d’approbation finale par les membres nationaux de l’ISO. Chaque membre national a la possibilité de voter pour ou contre l’adoption de la norme. Si elle est approuvée, la norme ISO est publiée et mise à disposition du public.
  5. Maintenance continue : Après la publication, les normes ISO restent sous la responsabilité des comités techniques qui sont chargés de surveiller leur application et de proposer des révisions si nécessaire. Les commentaires des utilisateurs, les évolutions technologiques et les changements dans l’environnement réglementaire sont pris en compte pour garantir que les normes ISO demeurent à jour et pertinentes.

Gérer les risques de sécurité des systèmes les plus sensibles

Une fois que les pratiques de sécurité de base sont mises en place, il est essentiel de se concentrer spécifiquement sur la gestion des risques liés aux systèmes les plus sensibles.

Le RGPD (Règlement Général sur la Protection des Données) et les directives du G29 identifient les cas pouvant présenter des risques élevés pour les droits et libertés des individus. Pour ces systèmes sensibles, il est impératif de gérer les risques de manière proactive en les identifiant, en les analysant, en les évaluant et en prenant des mesures pour les atténuer.

Comment aborder concrètement cette question ?

Pour aborder la gestion des risques des systèmes sensibles, il est essentiel de poser les bonnes questions :

  1. Quels pourraient être les impacts sur les personnes concernées en cas d’accès illégitime, de modification non désirée ou de disparition de données ?
  2. Qui ou quoi pourrait être à l’origine de ces violations (sources de risques) ?
  3. Comment ces violations pourraient-elles se produire ?
  4. Quelles mesures de prévention, de protection, de détection et de réaction devraient être prises pour réduire ces risques à un niveau acceptable ?
  5. Quelle serait la gravité et la vraisemblance de ces incidents, compte tenu des mesures existantes ou prévues ?

Formaliser la réflexion

Un tableau peut être utilisé pour formaliser cette réflexion en identifiant les risques, en évaluant leurs impacts sur les personnes, en identifiant les sources de risques et les menaces potentielles, ainsi qu’en répertoriant les mesures existantes ou prévues pour atténuer ces risques.

Différence entre sécurité de l’information et protection de la vie privée

Il est important de comprendre que la sécurité de l’information et la protection de la vie privée sont deux logiques complémentaires qui doivent être abordées en parallèle. Alors que la sécurité de l’information vise à protéger l’organisme contre les atteintes à son patrimoine informationnel, la protection de la vie privée vise à protéger les individus contre les atteintes à leurs données personnelles.

En intégrant ces deux aspects, les organisations peuvent garantir une approche globale de la gestion des risques liés à la sécurité des données sensibles.

Scroll to Top