Publiez vos actualités

Retrouvez toute l’information économique locale, des brèves, des infos « terrain » liées aux thématiques de votre communauté. Publiez dans l'espace adhérents les actualités de votre entreprise et augmentez votre notoriété.

CNIL : guide pratique de la sécurité des données personnelles

La CNIL propose, sur son site internet, un guide pratique qui a pour objectif d’inciter les professionnels à garantir la sécurité des données personnelles. Actuellement exigée par la loi « Informatique et libertés », cette sécurité le sera, à compter du 25 mai 2018, par le règlement européen sur la protection des données personnelles, le « RGPD », sous peine de sanctions.

Le RGPD, en vigueur le 25 mai 2018, reprend les termes de la loi « Informatique et libertés » du 6 janvier 1978 et précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (règlement 2016/679 du 27 avril 2016, art. 32). Il alourdit également la sanction applicable en cas de non-respect de cette obligation.

Ainsi, à compter du 25 mai prochain, le responsable du traitement de données personnelles qui n’aura pas pris les mesures nécessaires pour garantir leur sécurité, encourra une amende allant jusqu’à 10 M€, voire jusqu’à 2 % de son CA annuel mondial (contre 3 M€ de plafond actuellement).

C’est pourquoi, la CNIL propose sur son site : www.cnil.fr un guide afin d’aider les professionnels à se conformer à la loi puis au règlement. Parmi les mesures conseillées, il en existe certaines d’ordre juridique décrites ci-après.

I – La rédaction d’une charte informatique

La CNIL conseille aux entreprises qui ne l’ont pas déjà, de rédiger une charte informatique et de lui conférer une force contraignante, en l’intégrant ou en l’annexant au règlement intérieur. De l’avis de la CNIL, cette charte devrait, au moins, comporter les informations suivantes :

  • le rappel des règles de protection des données et les sanctions encourues en cas de non-respect ;
  • les modalités d’intervention des équipes chargées de la gestion des ressources informatiques dans l’entreprise ;
  • les moyens d’authentification utilisés par l’entreprise ;
  • les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition (poste de travail, équipements nomades, espaces de stockage individuel, réseaux locaux, Internet, messagerie électronique et téléphonie) ;
  • les conditions d’utilisation des dispositifs personnels ;
  • les conditions d’administration du système d’information et l’existence, le cas échéant, de systèmes automatiques de filtrage, systèmes automatiques de traçabilité et gestion du poste de travail ;
  • les sanctions encourues en cas de non-respect de la charte.

La charte doit également préciser les obligations imposées aux salariés au titre de la protection des données personnelles, qui sont notamment :

  • de signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement ;
  • de verrouiller son ordinateur dès que l’on quitte son poste de travail ;
  • de respecter certaines procédures (par ex. accord d’un supérieur) pour encadrer certaines opérations (par ex. la copie de données sur supports amovibles).

La charte listera aussi les interdictions faites aux salariés :

  • confier ses identifiant et mot de passe à un tiers ;
  • copier, installer, modifier ou détruire des logiciels sans autorisation ;
  • supprimer des informations si cela ne relève des tâches confiées au salarié.

II – L’insertion d’une clause de confidentialité dans les contrats de travail

La CNIL demande aux entreprises de faire signer aux salariés un engagement de confidentialité lorsqu’ils manipulent des données personnelles et met à leur disposition un modèle type.

III – L’insertion d’une clause de sécurité dans les contrats de maintenance

Les opérations de maintenance doivent être encadrées afin de maîtriser l’accès aux données par les prestataires. La CNIL précise que ces interventions doivent être enregistrées dans une main courante et qu’une procédure de suppression sécurisée des données doit être mise en place.

Par ailleurs, la CNIL engage les entreprises à prévoir une clause de sécurité dans leurs contrats de maintenance et propose une clause type à cet effet.

IV – La gestion du contrat de sous-traitance

  • Les garanties

Les données communiquées à (ou gérées par) des sous-traitants doivent bénéficier de garanties suffisantes.

La CNIL insiste sur le choix de sous-traitants présentant de telles garanties (connaissances spécialisées, fiabilité, ressources…) et sur la nécessité d’exiger de leur part communication de leur politique de sécurité des systèmes d’information.

Les entreprises doivent également prendre et documenter les moyens (audits de sécurité, visite des installations…) qui permettent d’assurer l’effectivité des garanties offertes par le sous-traitant en matière de protection des données, qui incluent notamment :

- le chiffrement des données selon leur sensibilité ou à défaut l’existence de procédures garantissant que la société de prestation n’a pas accès aux données qui lui sont confiées ;

- le chiffrement des transmissions de données ;

- des garanties de protection du réseau, de traçabilité (journaux, audits), de gestion des habilitations, d’authentification

  • Les clauses contractuelles

Le contrat conclu entre l’entreprise et le sous-traitant définit l’objet, la durée, la finalité du traitement, les obligations des parties et, en particulier :

- la confidentialité des données personnelles confiées ;

- des contraintes minimales en matière d’authentification des utilisateurs ;

- les conditions de restitution et/ou de destruction des données en fin de contrat ;

- les règles de gestion et de notification  des incidents (notamment au responsable du traitement et ce, dans les plus brefs délais lorsqu’il s’agit d’une violation de données à caractère personnel).

  • Les services de cloud

La CNIL met en garde les entreprises ; elles ne doivent pas avoir recours à des services de cloud :

- sans avoir des garanties quant à la localisation géographique effective des données ;

- et sans s’assurer des conditions légales et des éventuelles formalités auprès de la CNIL pour les transferts de données en dehors de l’Union européenne.

Le guide publié par la CNIL, sous forme de fiches pratiques, rappelle les précautions élémentaires qui doivent être systématiquement mises en œuvre :

Fiche 1 : Sensibiliser les utilisateurs

Fiche 2 : Authentifier les utilisateurs

Fiche 3 : Gérer les habilitations

Fiche 4 : Tracer les accès et gérer les incidents

Fiche 5 : Sécuriser les postes de travail

Fiche 6 : Sécuriser l’informatique mobile

Fiche 7 : Protéger le réseau informatique interne

Fiche 8 : Sécuriser les serveurs

Fiche 9 : Sécuriser les sites web

Fiche 10 : Sauvegarder et prévoir la continuité d’activité

Fiche 11 : Archiver de manière sécurisée

Fiche 12 : Encadrer la maintenance et la destruction des données

Fiche 13 : Gérer la sous-traitance

Fiche 14 : Sécuriser les échanges avec d’autres organismes

Fiche 15 : Protéger les locaux

Fiche 16 : Encadrer les développements informatiques

Fiche 17 : Chiffrer, garantir l’intégrité ou signer

Evaluation du niveau de sécurité des données personnelles de l’entreprise.

Informations

Rédacteur
Christine RUBETTI
CONSULTANT COMMERCE

Date de publication
le 12/02/18 à 19:02

Thèmes
Réglementation