données personnelles
Que dois-je mettre en œuvre pour le respect de mon obligation de sécurité ?
La législation prévoit que le responsable d’un traitement de données à caractère personnel doit prendre toutes les précautions utiles pour préserver la sécurité de données, pour éviter, par exemple, qu’elles ne soient endommagées, déformées ou pire, que des tiers non autorisés y aient accès.
Depuis l’entrée en vigueur du RGPD, pour garantir la sécurité des données, il convient donc de mettre en place des mesures techniques et organisationnelles qui dépendent :
- de l’état des connaissances et des coûts de mise en œuvre (ex : il ne s’agit pas de se doter de moyens de sécurité accessibles aux seuls services de renseignement d’un pays ou accessibles à un coût disproportionné),
- de la nature, la portée du contexte et de la finalité du traitement. Ainsi, plus le traitement sera sensible, plus les mesures devront être strictes et respectées,
- des risques présentés par le traitement (degré de probabilité et de gravité) résultant de la destruction, perte, altération, divulgation, ou accès non autorisé aux données.
L’obligation d’assurer la sécurité des données pèse tant sur le responsable de traitement que le sous-traitant.
Mais de quoi peut-il s’agir concrètement ?
Il est indispensable de tenir à jour une documentation des mesures techniques et organisationnelles mises en place afin de pouvoir démontrer à la CNIL que vous respectez la législation en vigueur.
Les moyens pouvant être mis en œuvre en pratique sont les suivants :
- mettre en place des niveaux d’habilitation d’accès aux données fonction du poste occupé au sein de l’entreprise et de la nécessité d’avoir accès auxdites données,
- mettre en œuvre une politique de mot de passe rigoureuse,
- la pseudonymisation/chiffrement des données,
- faire adhérer le personnel à une charte informatique fixant les bonnes pratiques d’utilisation des moyens informatiques de l’entreprise,
- des procédures d’évaluation régulière des mesures de sécurité.
A noter à cet égard que la CNIL met à disposition des professionnels un guide de la sécurité des données personnelles.