RGPD : Guide sur la sécurité des données personnelles

RGPD : Guide sur la sécurité des données personnelles

RGPD : Mise en conformité et contraintes

Un guide sur la sécurité des données personnelles

À compter du 25 mai 2018, toutes les entreprises qui traitent des données personnelles liées à des citoyens européens devront respecter le RGPD (le projet de loi français est disponible ici). Les nombreuses pages du règlement font peur aux pros du numérique : ceux qui ont pris le temps de le consulter mesurent l’ampleur de la tâche et voient l’échéance approcher à grands pas (tandis que d’autres préfèrent faire l’autruche et espèrent que la CNIL ne sera pas trop répressive). Pour aider les entreprises à creuser le sujet, la CNIL publie ce matin un guide didactique sur la sécurité des données personnelles, « un volet essentiel de la conformité à la loi informatique et libertés ». Les obligations vont se renforcer avec l’application du RGPD. Le guide est divisé en 4 étapes, essentielles pour prévenir les risques : recenser les traitements, apprécier les risques, mettre en œuvre et vérifier les mesures prévues et réaliser des audits de sécurité périodiques. Des outils, sont mis à disposition des professionnels qui s’intéressent à la sécurité des données. En outre, voici une vidéo de 6 minutes vulgarisant les enjeux du GDPR / RGPD. (Règlement sur la Protection des Données Personnelles)

17 fiches pratiques sur la sécurité des données personnelles

La CNIL référence 17 fiches, qui permettent aux professionnels du numérique de comprendre les enjeux liés à la sécurité des données personnelles :

  1. Sensibiliser les utilisateurs :

    Faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée.

    > En savoir plus

  2. Authentifier les utilisateurs :

    Reconnaître ses utilisateurs pour pouvoir ensuite leur donner les accès nécessaires.

    > En savoir plus

  3. Gérer les habilitations :

    Limiter les accès aux seules données dont un utilisateur a besoin.

    > En savoir plus

  4. Tracer les accès et gérer les incidents :

    Journaliser les accès et prévoir des procédures pour gérer les incidents afin de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité).

    > En savoir plus

  5. Sécuriser les postes de travail :

    Prévenir les accès frauduleux, l’exécution de virus ou la prise de contrôle à distance, notamment via Internet.

    > En savoir plus

  6. Sécuriser l’informatique mobile :

    Anticiper l’atteinte à la sécurité des données consécutive au vol ou à la perte d’un équipement mobile.

    > En savoir plus

  7. Protéger le réseau informatique interne :

    Autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place.

    > En savoir plus

  8. Sécuriser les serveurs :

    Renforcer les mesures de sécurité appliquées aux serveurs.

    > En savoir plus

  9. Sécuriser les sites web :

    S’assurer que les bonnes pratiques minimales sont appliquées aux sites web.

    > En savoir plus

  10. Sauvegarder et prévoir la continuité d’activité :

    Effectuer des sauvegardes régulières pour limiter l’impact d’une disparition non désirée de données.

    > En savoir plus

  11. Archiver de manière sécurisée :

    Archiver les données qui ne sont plus utilisées au quotidien mais qui n’ont pas encore atteint leur durée limite de conservation, par exemple parce qu’elles sont conservées afin d’être utilisées en cas de contentieux.

    > En savoir plus

  12. Encadrer la maintenance et la destruction des données :

    Garantir la sécurité des données à tout moment du cycle de vie des matériels et des logiciels.

    > En savoir plus

  13. Gérer la sous-traitance :

    Encadrer la sécurité des données avec les sous-traitants.

    > En savoir plus

  14. Sécuriser les échanges avec d’autres organismes :

    Renforcer la sécurité de toute transmission de données à caractère personnel.

    > En savoir plus

  15. Protéger les locaux :

    Renforcer la sécurité des locaux hébergeant les serveurs informatiques et les matériels réseaux.

    > En savoir plus

  16. Encadrer les développements informatiques :

    Intégrer sécurité et protection de la vie privée au plus tôt dans les projets.

    > En savoir plus

  17. Chiffrer, garantir l’intégrité ou signer :

    Assurer l’intégrité, la confidentialité et l’authenticité d’une information.

    > En savoir plus