La protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »
La gestion des risques permet de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données…» (article 34 de la loi du 6 janvier 1978 modifiée, dite loi « informatique et libertés »). Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).
Une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.
Pour vous aider dans votre mise en conformité, ce guide rappelle ces précautions élémentaires qui devraient être mises en œuvre de façon systématique.
Dans l’idéal, ce guide sera utilisé dans le cadre d’une gestion des risques, même minimale, constituée des quatre étapes suivantes :
Recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent :
les matériels (ex : serveurs, ordinateurs portables, disques durs) ;
les logiciels (ex : système d’exploitation, logiciel métier) ;
les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
les supports papier (ex : document imprimé, photocopie).
Apprécier les risques engendrés par chaque traitement :
a- Identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :
- accès illégitime à des données (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
- modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
- disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
b- Identifier les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté ?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
c- Identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :
- utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ;
- modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
- perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
- observés (ex : observation d’un écran dans un train, géolocalisation d’un matériel) ;
- détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
- surchargés (ex : unité de stockage pleine, attaque par dénis de service).
d- Déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
e- Estimer la gravité et la vraisemblance des risques , au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).
Le tableau RGPD-Annexe1.xlsx peut être utilisé pour formaliser cette réflexion.
- Mettre en œuvre et vérifier les mesures prévues. Si les mesures existantes et prévues sont jugées appropriées, il convient de s’assurer qu’elles soient appliquées et contrôlé
- Faire réaliser des audits de sécurité périodiques. Chaque audit devrait donner lieu à un plan d’action dont la mise en œuvre devrait être suivie au plus haut niveau de l’organisme.