Sécurité : sensibiliser les utilisateurs
Faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée.
Les précautions élémentaires
Sensibiliser les utilisateurs (aussi bien internes qu’externes à l’organisme) travaillant avec des données personnelles aux risques liés aux libertés et à la vie privée des personnes, les informer des mesures prises pour traiter ces risques et des conséquences potentielles en cas de manquement. Concrètement, il peut s’agir d’organiser une séance de sensibilisation, d’envoyer régulièrement les mises à jour des procédures pertinentes pour les personnes selon leurs fonctions, de faire des rappels par messagerie électronique, etc.
Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données personnelles, qu’il s’agisse d’une opération d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer.
Rédiger une charte informatique et lui donner une force contraignante (ex. : annexion au règlement intérieur). Cette charte devrait au moins comporter les éléments suivants :
-
Le rappel des règles de protection des données et les sanctions encourues en cas de non respect de celles-ci.
-
Le champ d’application de la charte, qui inclut notamment :
- les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisme ;
- les moyens d’authentification utilisés par l’organisme et la politique de mots de passe que l’utilisateur doit respecter ;
- les règles de sécurité auxquelles les utilisateurs doivent se conformer, ce qui doit inclure notamment de :
- signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique, toute perte ou vol de matériel et, de manière générale, tout dysfonctionnement ;
- ne jamais confier son identifiant/mot de passe à un tiers ;
- ne pas installer, copier, modifier, détruire des logiciels et leur paramétrage sans autorisation ;
- verrouiller son ordinateur dès que l’on quitte son poste de travail ;
- ne pas accéder, tenter d’accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur ;
- respecter les procédures préalablement définies par l’organisme afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité.
-
Les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition comme :
- le poste de travail ;
- les équipements nomades (notamment dans le cadre du télétravail) ;
- les espaces de stockage individuel ;
- les réseaux locaux ;
- les conditions d’utilisation des dispositifs personnels ;
- l’accès à Internet ;
- la messagerie électronique ;
- la téléphonie.
-
Les conditions d’administration du système d’information, et l’existence, le cas échéant, de :
- systèmes automatiques de filtrage ;
- systèmes automatiques de traçabilité ;
- systèmes de gestion du poste de travail.
-
Les responsabilités et sanctions encourues en cas de non respect de la charte.
Pour aller plus loin
- Mettre en place une politique de classification de l’information définissant plusieurs niveaux (ex: public, interne, confidentiel) et imposant un marquage des documents, des supports et des e-mails contenant des données confidentielles.
- Ajouter une mention visible et explicite sur chaque page des documents papier ou électroniques qui contiennent des données sensibles.
- Organiser des séances de formation et de sensibilisation à la sécurité de l’information. Des rappels périodiques peuvent être effectués par le biais de la messagerie électronique. Les campagnes de sensibilisation peuvent également prendre la forme de simulations d’attaque (ex. : campagnes d’hameçonnage ou « phishing »).
- Prévoir la signature d’un engagement de confidentialité (voir modèle de clause ci-contre), ou prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données personnelles.
Exemple d’engagement de confidentialité pour les personnes ayant vocation à manipuler des données personnelles :
Je soussigné/e Monsieur/Madame __________, exerçant les fonctions de _______ au sein de la société ________ (ci-après dénommée « la Société »), étant à ce titre amené/e à accéder à des données à caractère personnel, déclare
reconnaître la confidentialité desdites données.
Je m’engage par conséquent, conformément à l’article 32 du règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions
afin de protéger la confidentialité des informations auxquelles j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.
Je m’engage en particulier à :
- ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes attributions ;
- ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;
- ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes fonctions ;
- prendre toutes les mesures conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;
- prendre toutes précautions conformes à l’état de l’art et aux règles internes pour préserver la sécurité physique et logique de ces données ;
- m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;
- en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.
Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif, sans limitation de durée, après la cessation de mes fonctions, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation
et la communication de données à caractère personnel.
J’ai été informé que toute violation du présent engagement m’expose à des sanctions disciplinaires et pénales conformément à la règlementation en vigueur, notamment au regard des articles 226-13 et 226-16 à 226-24 du code pénal.
Fait à _____, le jj/mm/aaaa, en X exemplaires
Nom :
Signature :