Le 25 mai 2018 est entré en vigueur un nouveau règlement visant à mieux protéger les données à caractère personnel des personnes vivant dans l’union européenne : Le Règlement européen sur le traitement des données personnelles (RGPD).
Rappelons que selon la Loi Informatiques et Libertés (LIL), une donnée à caractère personnel est définie comme « toute information relative à une personne physique identifiée ou pouvant être identifiée, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Le RGPD a un impact direct sur la manière dont les organisations collectent, traitent et sauvegardent les données à caractère personnel au sein de leurs systèmes d’information.
En effet, des mesures techniques et organisationnelles appropriées doivent être mises en place pour offrir le plus haut niveau possible de protection aux données personnelles. C’est ce qu’on appelle le principe de “privacy by design” qui est l’une des notions centrales du RGPD.
Nous vous présentons dans cet article une méthodologie qui vous permettra d’intégrer le principe RGPD du “privacy by design” au sein de vos systèmes d’information afin de les rendre conforme « RGPD ».
Méthodologie pour rendre conforme « RGPD » vos systèmes d’information
1- Créer un registre des traitements :
Le RGPD demande la tenue d’un registre des traitements de données personnelles :
https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf
Ce registre sert à documenter les activités pour lesquelles vous traitez des données personnelles.
Pour chaque activité vous y décrirez la nature de l’activité (ex : Gestion des prospects), l’objectif poursuivi lors du traitement des données personnelles (ex : Organisation des campagnes marketing), le type de personnes dont vous collectez ou utilisez les données (ex : clients, abonnés à une lettre d’information, etc.) et la manière dont vous recevez leurs accords pour le traitement de leurs données personnelles, la nature des données personnelles collectées (ex : Etat-civil, situation familiale, etc.), la durée de conservation des données (ex : 1 an), les personnes pouvant accéder à ces données (ex : vendeurs, service marketing, direction informatique, etc.) et enfin les mesures de sécurité mises en place pour protéger les données personnelles (antivirus, surveillance des incidents, etc.)
A ce stade, si vous identifiez que des données personnelles sont conservées sans objectif particulier ou sans accord des personnes concernées alors il faudra les détruire. En effet, tout traitement de données personnelles doit vous aider à poursuivre un objectif identifié et approuvé par les personnes dont vous traitez les données personnelles.
La tenue de ce registre est obligatoire car il permet de faciliter le travail d’un inspecteur en cas de contrôle de la bonne application du RGPD au sein de votre organisation.
2- Réaliser un «data privacy impact assessment» :
Une fois la liste des activités documentées dans le registre, il faudra vous assurer que ces activités s'accompagnent de mesures de sécurité permettant de maintenir un haut niveau de protection de ces données.
Pour ce faire, le RGPD demande aux organisations traitant des données à caractère personnel de réaliser un «data privacy impact assessment» (DPIA). Réalisée par les responsables de traitements, cette évaluation a pour but de recenser les risques engendrés par le traitement de données afin de déterminer les moyens adéquats pour les réduire.
Le DPIA peut se décomposer en trois étapes :
a- Pour commencer, il vous faut cartographier les données personnelles tout au long de leur cycle de vie : saisie, traitement, stockage, destruction. A chaque stade de leur cycle de vie vous devez être en mesure de savoir où sont situés ces données personnelles dans vos systèmes d’information et qui peut les consulter.
b- Ensuite, il vous faudra réaliser une analyse de risque afin d’identifier les risques pouvant impacter la confidentialité de ces données. Cela passe par une analyse des risques organisationnels et des risques de cybersécurité.
c- Enfin, connaissant les risques encourus par ces données personnelles, il vous faudra définir les moyens à mettre en place pour garantir un haut niveau de protection de ces données.
Vous l’aurez compris réaliser un «data privacy impact assessment» (DPIA) nécessite une bonne compréhension du cycle de vie de vos données. Pour que les risques Cyber ne soient pas négligés, n'étant pas toujours bien compris par les organisations, cette évaluation requiert l’intervention de professionnels de la sécurité informatique.
3- Protéger ses données personnelles :
Chaque registre de traitement se termine par l’obligation pour la personne morale de décrire les mesures de sécurité
organisationnelles et techniques qui ont été mises en place pour préserver la confidentialité des données. Les responsables de traitement doivent y décrire les dispositifs de contrôle instaurés pour protéger les données personnelles.
Le registre de traitement proposé par la CNIL aborde ces 6 grandes catégories de contrôles :
- Contrôle d'accès des utilisateurs (exemples de contrôles possibles : Document décrivant la liste des personnes habilitées à consulter des données et leurs droits dans les systèmes, Revue périodique des accès, Authentification à double facteurs pour accéder aux données critiques, Changement des mots de passe périodique, Analyse des connexions anormales, etc.)
- Mesures de traçabilité (exemples de contrôles possibles : Chaque consultation et copie de donnée est enregistré, Analyse périodique des accès anormaux, etc.)
- Mesures de protection des logiciels (exemples de contrôles possibles : antivirus, mises à jour et correctifs de sécurité, tests de sécurité, etc.)
- Sauvegarde des données (exemples de contrôles possibles : les sauvegardes sont entreposées dans un centre sécurisé, les sauvegardes sont détruites au bout de 1 an, etc.)
- Chiffrement des données (exemples de contrôles possibles : Chiffrement des disques durs, des fichiers, des communications de données personnelles, etc.)
- Contrôle des sous-traitants (exemple de contrôle possible : Revue périodique du niveau de sécurité des sous-traitants, etc.)
La sélection des contrôles à mettre en place doit être en accord avec l’analyse de risque réalisée lors du «data privacy impact assessment» (DPIA).
Vous l’aurez compris, pour être une réussite, la mise en conformité de vos systèmes d’information avec le RGPD est un travail pluridisciplinaire qui doit être entrepris en collaboration avec vos équipes d’affaire, vos informaticiens et un expert en cybersécurité.
Nous espérons que cet article vous sera utile et nous tenons à votre disposition pour répondre à toutes les questions que vous vous posez concernant la protection de vos données personnelles.
Des questions concernant cet article ?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com
Ou nous parler via notre site internet :
https://oppidumsecurity.com/