Garantir la sécurité des données

09 mai 2016

Le responsable du fichier est astreint à une obligation de sécurité : il doit notamment prendre les mesures nécessaires pour garantir la sécurité des données qu’il a collectées et éviter leur divulgation à des tiers non autorisés.

Une approche par les risques

Le responsable du fichier doit identifier les risques sur la vie privée des personnes concernées  engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. Pour ce faire, il convient d'adopter une vision globale et d'étudier les conséquences sur les personnes concernées.

Evaluez le niveau de sécurité des données personnelles dans votre organisme

La CNIL a publié un guide sécurité des données personnelles : il présente, sous forme de fiches thématiques, les précautions élémentaires à mettre en place pour améliorer la sécurité d'un traitement de données personnelles. Il atteint cependant ses limites lorsqu'il s'agit d'étudier des traitements complexes ou aux risques élevés. 

Une liste récapitulative vous permet de faire le point sur les actions menées et à mener pour atteindre un niveau de sécurité élémentaire des données personnelles.

Concrètement, comment faire ?

Les bonnes questions à se poser : 

  1. Quels pourraient être les impacts sur les personnes concernées en cas :
  •    d’accès illégitime ?
  •    de modification non désirée ?
  •    de disparition ?
  1. Est-ce grave ?
  2. Comment chacun de ces scénarios pourrait-il arriver ?
  3. Est-ce vraisemblable ?
  4. Quelles mesures (de prévention, de protection, de détection, de réaction…) devraient être prévues pour réduire ces risques à un niveau acceptable ? 

Pour aller plus loin : l’analyse d'impact relative à la protection des données (AIPD)

Une AIPD est un outil d’évaluation d’impact sur la vie privée. Une AIPD repose sur 2 piliers :

  1. les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
  2. la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Quelle différence entre sécurité de l’information et protection de la vie privée ?

Les deux logiques sont complémentaires. L’objectif de la sécurité de l’information est de protéger l’organisme des atteintes liées à son patrimoine informationnel.  Celui de la protection de la vie privée est de protéger les personnes des atteintes liées à leurs données.

La CNIL propose une méthode composée de deux guides : la démarche méthodologique et l’outillage (modèles et exemples). Ils sont complétés par un  guide des bonnes pratiques pour traiter les risques.

Une démarche 4 étapes :

  1. étude du contexte : délimiter et décrire les traitements considérés, leur contexte et leurs enjeux ;
  2. étude des mesures : identifier les mesures existantes ou prévues (d’une part pour respecter les exigences légales, d’autre part pour traiter les risques sur la vie privée) ;
  3. étude des risques : apprécier les risques liés à la sécurité des données et qui pourraient avoir des impacts sur la vie privée des personnes concernées, afin de vérifier qu’ils sont traités de manière proportionnée ;
  4. validation : décider de valider la manière dont il est prévu de respecter les exigences légales et de traiter les risques, ou bien refaire une itération des étapes précédentes.

L’application de cette méthode par les entreprises leur permet d’assurer une prise en compte optimale de la protection des données personnelles dans le cadre de leurs activités.

Le catalogue de bonnes pratiques aide à déterminer des mesures proportionnées aux risques identifiés, en agissant sur :

  1. les « éléments à protéger » : minimiser les données, chiffrer, anonymiser, permettre l'exercice des droits…
  2. les « impacts potentiels » : sauvegarder les données, tracer l'activité, gérer les violations de données…
  3. les « sources de risques » : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…
  4. les « supports » : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…

Pour traiter un risque identifié et le réduire à un niveau acceptable, l'utilisateur des guides peut sélectionner une ou plusieurs mesures appropriées.

 

Pour aller plus loin : tous les contenus de la CNIL sur la sécurité des données


Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque [...]

Article 32 du RGPD

Que dit la loi ?

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Article 121 de la loi Informatique et Libertés

L’ISO 27701, une norme internationale pour la protection des données personnelles

La norme ISO 27701 est une norme internationale qui décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles, en étendant deux normes bien connues de la sécurité informatique.

Texte reference

Guide sécurité des données personnelles

Document reference

Guides PIA

La CNIL propose une méthode, des études de cas et un catalogue de bonnes pratiques pour mener une analyse d'impact sur la protection des données. Elle propose également un outil pour faciliter la mise en oevre de cette analyse.