Actualités
Dossier RGPD - Partie 3/3 : comment protéger vos données & que faire en cas de violation ?
Dossier RGPD - Partie 3/3 : comment protéger vos données & que faire en cas de violation ?
Cette édition comprend deux fiches informatives, chacune traitant des aspects cruciaux de la protection des données dans le contexte actuel.
La première fiche aborde l’importance capitale de la sécurité des données et l’obligation pour toutes les organisations de mettre en place des mesures techniques et opérationnelles adéquates. Elle souligne l’impératif de protéger les données sensibles et de prévenir les incidents de sécurité.
La deuxième fiche vous expose la procédure à suivre en cas de violation de données. Il est essentiel d’être préparé à réagir rapidement et efficacement en cas d’incident de sécurité afin de limiter les dommages potentiels et de respecter les obligations légales.
1 - La sécurité des données
Toutes les organisations sont concernées par la sécurité des données qu’elles traitent. Cette obligation s’impose aussi bien au responsable du traitement qu’au sous-traitant. Elle nécessite de mettre en place des mesures appropriées pour garantir un niveau de sécurité pertinent.
Une approche par les risques permet de déterminer les précautions à prendre en matière de sécurité
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.
Exemple : vous disposez d’un site marchand et vous livrez vos produits au domicile de vos clients. Ces derniers vous communiquent leur adresse et le code d’entrée de leur immeuble. Si ces informations sont piratées ou perdues, elles peuvent être utilisées pour s’introduire frauduleusement à leur domicile.
Liste des précautions élémentaires à prévoir
Recenser les traitements et les supports (matériels, logiciels, canaux de communication, supports papier, etc.) sur lesquels ces traitements reposent.
Identifier les sources de risques et les menaces : qui ou qu’est-ce qui pourrait être à l’origine d’un évènement redouté ? Par exemple virus informatique, erreur de manipulation (envoi de documents par courriel, à un mauvais destinataire), malveillance de la part d’un salarié ou d’un tiers qui usurperait l’identité de salariés suite à la divulgation accidentelle par leur employeur de leurs fiches de paie etc.
Bonnes pratiques : quelques questions à vous poser
2 - La procédure à suivre en cas de violation de données
On entend par « violation de données » une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles, ou l’accès non autorisé à de telles données.
Exemples :
- Perte d’un PC / portable, clef USB non sécurisée ;
- Suppression accidentelle de données non sauvegardées ;
- Attaque informatique externe (attaque d’un serveur d’hébergement cloud) ;
- Vol de données par des salariés.
Vos obligations en tant que responsable du traitement
Comment juger de la gravité d'une violation de données personnelles ?
L’appréciation de la gravité d’une violation se fait au cas par cas par le responsable du traitement et doit tenir compte des éléments suivants :
30/05/2024 - 13:57
La première fiche aborde l’importance capitale de la sécurité des données et l’obligation pour toutes les organisations de mettre en place des mesures techniques et opérationnelles adéquates. Elle souligne l’impératif de protéger les données sensibles et de prévenir les incidents de sécurité.
La deuxième fiche vous expose la procédure à suivre en cas de violation de données. Il est essentiel d’être préparé à réagir rapidement et efficacement en cas d’incident de sécurité afin de limiter les dommages potentiels et de respecter les obligations légales.
1 - La sécurité des données
Toutes les organisations sont concernées par la sécurité des données qu’elles traitent. Cette obligation s’impose aussi bien au responsable du traitement qu’au sous-traitant. Elle nécessite de mettre en place des mesures appropriées pour garantir un niveau de sécurité pertinent.
Une approche par les risques permet de déterminer les précautions à prendre en matière de sécurité
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.
Exemple : vous disposez d’un site marchand et vous livrez vos produits au domicile de vos clients. Ces derniers vous communiquent leur adresse et le code d’entrée de leur immeuble. Si ces informations sont piratées ou perdues, elles peuvent être utilisées pour s’introduire frauduleusement à leur domicile.
Liste des précautions élémentaires à prévoir
Recenser les traitements et les supports (matériels, logiciels, canaux de communication, supports papier, etc.) sur lesquels ces traitements reposent.
Identifier les sources de risques et les menaces : qui ou qu’est-ce qui pourrait être à l’origine d’un évènement redouté ? Par exemple virus informatique, erreur de manipulation (envoi de documents par courriel, à un mauvais destinataire), malveillance de la part d’un salarié ou d’un tiers qui usurperait l’identité de salariés suite à la divulgation accidentelle par leur employeur de leurs fiches de paie etc.
Bonnes pratiques : quelques questions à vous poser
- L’accès à vos locaux est-il sécurisé (badge, accueil physique, accès contrôlé, fermeture à clés des armoires etc.) ?
- Les postes de travail de vos salariés sont-ils sécurisés et protégés par des mots de passe d’une complexité suffisante ?
- L’accès aux données est-il limité aux salariés qui ont besoin d’y accéder (gestion des habilitations) ?
- Les équipements mobiles (clés USB, ordinateurs portables) sont-ils sécurisés (moyens de chiffrements, mécanismes de sauvegarde etc.) ?
- Vos salariés sont-ils sensibilisés aux enjeux en matière de sécurité ?
- Vos sites web sont-ils sécurisés pour garantir la confidentialité des données ?
2 - La procédure à suivre en cas de violation de données
On entend par « violation de données » une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles, ou l’accès non autorisé à de telles données.
Exemples :
- Perte d’un PC / portable, clef USB non sécurisée ;
- Suppression accidentelle de données non sauvegardées ;
- Attaque informatique externe (attaque d’un serveur d’hébergement cloud) ;
- Vol de données par des salariés.
Vos obligations en tant que responsable du traitement
- Dans tous les cas : vous devez inscrire cette violation dans un document interne (registre des violations)
- En cas de risque pour les personnes : vous devez notifier cette violation à la CNIL dans les meilleurs délais, si possible 72 heures
- En cas de risque élevé pour les personnes : informer ces personnes dans les meilleurs délais
Comment juger de la gravité d'une violation de données personnelles ?
L’appréciation de la gravité d’une violation se fait au cas par cas par le responsable du traitement et doit tenir compte des éléments suivants :
- le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données)
- la nature, la sensibilité et le volume des données personnelles concernées
- la facilité d’identifier les personnes touchées par la violation
- les conséquences possibles de celle-ci pour les personnes
- les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.)
- le volume de personnes concernées
- les caractéristiques du responsable du traitement (nature, rôle, activités).
Crédit photo : AdobeStock