LA SÉCURITÉ DES TRAITEMENTS

L'exigence de sécurité des traitements constitue l'un des piliers de la conformité RGPD. Les acteurs des traitements doivent être en mesure de prendre des mesures en adéquation avec le contexte des risques en déployant des méthodes fiables au regard des objectifs à atteindre.

GÉRER LES RISQUES DE SÉCURITÉ PRÉSENTÉS PAR LE TRAITEMENT

Besoin d'aide 

La sécurité des traitements constitue un enjeu complexe.

La sécurité des traitements constitue l'un des six principes de conformité du RGPD, les données devant être traitées de façon à,

  •  garantir une sécurité appropriée des données à caractère personnel,

  • y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle,

  • à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité); 

Le déploiement de la sécurité dans la perspective du RGPD nécessite de concilier les bonnes pratiques techniques de sécurité en s'appuyant sur les usages et les normes professionnelles, tout en prenant en compte l'exigence de garanties juridiques et organisationnelles appropriées qui constitue pour le responsable de traitement et le sous-traitant le fil conducteur de la conformité au RGPD. Le niveau de sécurité logique et physique doit être adapté au risque. A ce titre, les traitement soumis à l'obligation de réaliser une AIPD sont particulièrement étudiés sous l'angle de la sécurité.

La CNIL préconise dans son guide sur la sécurité de déployer une check-list thématique autour de plusieurs axes complémentaires :

  1. Sensibiliser et authentifier les utilisateurs

  2. Gérer les habilitations, tracer les accès et gérer les incidents

  3. Sécuriser les postes de travail et l'informatique mobile

  4. Protéger le réseau informatique interne et sécuriser les serveurs et les sites web

  5.  Sauvegarder et prévoir la continuité d'activité

  6. Archiver de manière sécurisée, ​

  7. Encadrer la maintenance et la destruction des données, encadrer les développements informatiques 

  8. Sécuriser la sous-traitance et les échanges avec d'autres organismes 

  9. Protéger les locaux

  10. Chiffrer, garantir l'intégrité ou signer les informations

 

Pa ailleurs, le responsable de traitement doit être en mesure d'appliquer le cadre juridique des violations de données avec l'aide du sous-traitant ​​afin de procéder à une notification auprès de la CNIL et des personnes physiques.

LES POINTS A RETENIR :

Des précautions élémentaires devant être mises en œuvre de façon systématique, il convient de garder à l'esprit plusieurs idées clés,

  • Le registre des activités traitements doit consigner des informations à minima sur la sécurité des traitements 

  • Une gestion des risques, même minimale, doit selon les préconisations de la CNIL être constituée de quatre étapes :  recensement des traitements, appréciations des risques, mettre en oeuvre et vérifier les mesures prévues, réaliser des audits périodiques

  • La relation de sous-traitance, de même que les transferts de données hors Union européenne doit s'accompagner d'une formalisation spécifique des mesures de sécurité   

  • L'analyse d'impact (DPIA) engendre une validation approfondie des mesures de sécurité 

  • L'exigence de sécurité s'intègre à la protection des données dès la conception (Privacy by design) et protection des données par défaut (Privacy by default )

  • La sécurité des traitements doit pouvoir faire l'objet d'un audit adapté aux exigences du RGPD

  • La préparation des violations de données à caractère personnel s'intègre dans le dispositif de sécurisation des traitement de données, notamment au travers de la tenue d'un registre spécifique

  • Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites aux articles 24, 25, 30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 précité ou au 6° de l'article 4 et aux articles 99 à 101 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

NOTRE OFFRE D'ACCOMPAGNEMENT :

Compléter votre outillage RGPD

Le programme de conformité RGPD accountability intégre une check-list des actions pour vérifier l'existence d'une feuille de route cohérence.  Il s'agit d'avancer pas à pas. pour maîtriser le risque de non conformité. L'outillage RGPD s'appuie sur plusieurs Quick-win.

Image de Ferdinand Stöhr

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris