Photo de Pixabay sur Pexels.com
Novembre 2018

Se mettre en conformité RGPD tout seul (2/3) – Pierre LOIR

par

Cette publication est la suite de notre article du 20 Novembre 2018 sur la « mise en conformité au RGPD tout seul ».

d. Sécurisez les données

Les règles en vigueur en matière de protection des données personnelles imposent que vous mettiez en œuvre des mesures « techniques et organisationnelles » pour sécuriser vos données personnelles. En clair, faire en sorte qu’elles ne puissent être divulguées, détruites ou altérées par un tiers.

Quels sont les deux secteurs de faiblesse de votre infrastructure ? La sécurité de votre réseau informatique et la sécurité physique de votre établissement. L’un ne va pas sans l’autre. Si vous mettez en place les protocoles de cryptages les plus élaborés, une politique rigoureuse en terme de mots de passe et des bitlockers et antivirus sur tous vos terminaux, il n’en demeure pas moins que si votre porte est ouverte sur rue, avec des fenêtres ouvertes, des serveurs bien en évidence et des dossiers papiers dans des armoires non fermée à clef cela ne servirait à rien.

Les deux vont donc de pair : votre sécurité informatique comme la sécurité de vos locaux.

Le plus simple pour la cybersécurité est de partir du guide d’hygiène informatique de l’ANNSI et de vous procurer quelques exemplaires des normes ISO 27 000 afin de les appliquer à la lettre. C’est une base solide, mais dans certains cas insuffisante pour commencer à être considérée comme une entreprise qui sécurise véritablement son infrastructure numérique. Néanmoins, vous vous placeriez déjà à un bon niveau par rapport à la moyenne des entreprises françaises. Prenez dès la lecture de cet article une bonne habitude : lancez la modification régulière des mots de passe de vos collaborateurs et insistez pour qu’ils comprennent des lettres, majuscules et minuscules, des symboles et des chiffres.

Pour la sécurité des locaux, par contre, c’est une autre paire de manche. Partez du principe qu’il doit être impossible ou alors extrêmement difficile à un externe (qui pourra par exemple être un prospect ou un client invité gracieusement chez vous) d’avoir accès à des données personnelles (donc, in extenso, à n’importe laquelle de vos données). A titres d’exemples:

  • Il faut que ce dernier soit dans l’incapacité de glisser une clef usb dans un port laissé à l’abandon.
  • Tout stockage de documents doit être scellé, fermé à clef et en accès limité. Les clefs doivent également pouvoir être stockées en sécurité, notamment au travers d’une une armoire électronique de stockage des clés ou un boîtier sécurisé à code (par exemple).
  • Il faut que vous puissiez savoir qui est chez vous, idéalement grâce une traçabilité des entrants au moyen de badges et d’une caméra sur l’évènement.Petit détail qui a son importance : les personnes doivent également être informées de la présence de cette caméra.
  • Il faut également une limitation des droits d’accès au local à votre serveur aux seules personnes habilitées.

Dans les cas où cela s’avère impossible : placez a minima les externes qu’ils soient clients, prospects ou prestataires à l’écart de toute documentation numérique ou papier. Exemple : une armoire chargée de dossiers de contentieux prudhommaux non fermée à clef dans votre bureau non fermé également pendant votre pause café, et le mal peut être très rapidement fait.

e. Limiter les accès aux données personnelles

Tout le monde n’a pas intérêt, dans le cadre des finalités de vos traitements, d’avoir accès à toutes les données. Cela semble logique. Le problème du partage illimité auprès de vos collaborateurs est qu’il leur offre peut être parfois de la fluidité mais surtout la possibilité d’interagir avec ces traitements et de bénéficier d’informations qui ne leurs sont pas destinées. De même : plus il y a d’accès, plus il y a de risques de fuites, altérations ou divulgations.

Il est donc important de tenir à jour un journal des logs (c’est à dire qui a eu accès à quel outil à quel moment), et de supprimer rapidement les accès des personnes quittant l’entreprise. Souvent, ce n’est pas fait, et le plus souvent par oubli. C’est pourtant un facteur derisque décuplé (des sessions restées actives, aux mots de passe inchangés depuis le départ du collaborateur, et sans contrôle…). L’autorité de contrôle portugaise a sévèrement condamné un hôpital qui avait laissé plus de 900 accès de médecins à l’infrastructure numérique de l’établissement… qui n’en comptait pourtant qu’à peine plus de 200.

Par conséquent, il va vous falloir clairement identifier les personnes nécessaires à vos traitements, tout en n’ayant bien sûr pas d’impact néfaste sur votre productivité.

f. Ajoutez des mentions d’information sur votre site et vos évènements externes

Votre site utilise très probablement des cookies et autres traceurs, ne serait-ce qu’à des fins de statistiques. Les personnes doivent en être informées précisément, même si leur gestion ne dépend pas de vous (exemple, lorsque vous faite appel à un CMS type WordPress).

C’est encore plus le cas lorsque vous créez de la monétisation au travers des publicités de votre site. L’utilisateur doit en être conscient : qui est le destinataire de ses données de connexion (on n’a pas dit « nos partenaires » on a dit « QUI précisément ») ? Pour cela, mettez-vous en contact avec l’éditeur de votre CMS et demandez-le lui : il a l’obligation de vous répondre.

Votre site comprend des inscriptions et des sessions, telles que des formulaires. Ces dernières doivent être assorties de mentions d’information sur le destinataire de vos collectes de données personnelles, leurs durées de conservation, le contact de votre DPO (ou toute personne en charge des données personnelles) etc. N’oubliez pas de les mettre à jour si elles n’étaient qu’en conformité avec la loi Informatique et Libertés d’avant juin 2018 ! La CNIL a mis à la disposition des entreprises un certain nombre de modèles, appuyées par les travaux du groupe de travail G29.

Nous ne parlons que de votre site, mais sachez que ces mentions doivent également figurer sur vos formulaires papiers, comme ceux permettant l’organisation d’un évènement par exemple.

g. Si vous êtes responsables des traitements, vous devez également garantir vos sous-traitants

Dans le sens prévu par les règles en matière de protection des données personnelles, il y a deux types d’acteurs dans le traitement : le responsable de traitement et le sous-traitant.

En clair, le responsable de traitement est celui qui « donne les ordres » sur les traitements de données personnelles : il dit qui fait quoi et comment de quelles données. Le sous-traitant, le plus souvent prestataire, doit tout simplement appliquer ces directives contractuelles.

En tant que responsable du traitement, vous devez vous assurez que vos sous-traitants (aussi gros soient-ils) respectent bien les règles en matière de protection des données personnelles. Vous pouvez le leur demander tout simplement : ils ont, eux également, l’obligation de vous répondre. Si leur réponse vous semble douteuse, nous vous conseillons de changer dès que possible. En effet, si le sous-traitant n’est pas en conformité, le responsable du traitement ne l’est pas plus et vous vous retrouverez tous les deux sanctionnés.

Vous allez également devoir, dans les cas où cela n’est pas fait, prévoir des clauses contractuelles concernant les traitements de données personnelles que vous leur demandez, et la procédure à suivre en cas d’incident. Cette clause devra être la plus précise possible : dans l’hypothèse où elle ne serait pas respectée, cela n’est plus de votre responsabilité car vous aurez mis en œuvre les moyens nécessaires pour faire respecter la conformité. Néanmoins, particulièrement si vous êtes beaucoup plus imposant que votre sous-traitant, un audit externe de votre prestataire est un justificatif supplémentaire de votre bonne foi à évoquer en cas de contrôle de la CNIL.

N’oubliez pas également de rajouter de telles exigences dans vos appels d’offre, ce qui vous permettra de faire ce travail en amont. C’est l’un des raisons pour laquelle, très récemment, le RGPD a été intégré aux commandes publiques au travers du formulaire DC4.

A suivre: la troisième et dernière partie de l’article sera publiée le lundi 26 Novembre 2018

Tout comme pour chacun de nos articles : Ce n’est en aucun cas un conseil juridique. Un conseil juridique doit être adapté et personnalisé pour un client déterminé. Par conséquent, pour un conseil adapté : faites appel à un avocat ou à un cabinet comme Observantiae qui centralise avocats, conseils, informaticiens et métiers dans le cadre de ses prestations d’accompagnement.

Pierre LOIR

Expert en protection des données personnelles

Fondateur d’Observantiae

LOGO_RENDU-01.jpg

Étiquettes :

Publié par observantiae

Je suis Délégué à la Protection des Données, consultant, formateur et fondateur du cabinet Observantiae. Issu d'un parcours juridique, je me suis passionné pour la protection des données personnelles et l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD). Après avoir accompagné plusieurs sociétés sur la voie de la conformité RGPD au sein de différents cabinets de conseil, j’ai créé une structure de DPO externalisé axée sur la mutualisation des compétences, l’innovation et l’éthique dans le numérique.