Sécurité : Introduction
La gestion des risques permet de déterminer les précautions à prendre en matière de sécurité des données personnelles. Elle nécessite de mettre en place des mesures appropriées pour garantir un niveau de sécurité pertinent. Cette exigence s’impose aussi bien au responsable du traitement de données personnelles qu’aux sous-traitants impliqués.
La gestion des risques permet de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » (article 121 de la loi Informatique et Libertés). Le règlement général sur la protection des données (RGPD) précise que la protection des données personnelles nécessite de prendre les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette exigence s’impose aussi bien au responsable du traitement de données personnelles qu’aux sous-traitants impliqués (article 32 du RGPD).
Une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on n’est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.
Pour vous aider dans votre mise en conformité, ce guide rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique. Ce guide est notamment destiné aux DPO (délégués à la protection des données), RSSI (responsables de la sécurité des systèmes d’information) et informaticiens. Les juristes et les utilisateurs pourront également y trouver des éléments utiles.
Dans l’idéal, ce guide sera utilisé dans le cadre d’une gestion des risques, même minimale, constituée des trois actions suivantes.
Recenser les traitements de données personnelles, automatisés ou non, les données traitées (ex. : fichiers clients, contrats) et les supports sur lesquels ces traitements reposent
- les matériels (ex. : serveurs, ordinateurs portables, disques durs) ;
- les logiciels (ex. : systèmes d’exploitation, logiciels métier) ;
- les canaux de communication logiques ou physiques (ex. : fibre optique, Wi-Fi, Internet, échanges verbaux, coursiers) ;
- les supports papier (ex. : documents imprimés, photocopies) ;
- les locaux et installations physiques où se situent les éléments précédemment cités (ex. : locaux informatiques, bureaux).
Apprécier les risques engendrés par chaque traitement :
-
Identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :
- accès illégitime à des données (ex. : usurpation d’identité consécutive à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
- modification non désirée de données (ex. : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
- disparition de données (ex. : non-détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
-
Identifier les sources de risques
(Qui ou qu’est-ce qui pourrait être à l’origine de chaque évènement redouté ?), en prenant en compte des sources humaines internes et externes (ex. : administrateur informatique, utilisateur, attaquant externe, concurrent) ainsi que des sources non humaines internes et externes (ex. : eau, épidémie, matériaux dangereux, virus informatique non ciblé).
-
Identifier les menaces réalisables
(Qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces surviennent sur les supports identifiés précédemment (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :
- utilisés de manière inadaptée (ex. : abus de droits, erreur de manipulation) ;
- modifiés (ex. : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
- perdus (ex. : vol d’un ordinateur portable, perte d’une clé USB) ;
- observés (ex. : observation d’un écran dans un train, géolocalisation d’un matériel) ;
- détériorés (ex. : vandalisme, dégradation du fait de l’usure naturelle) ;
- surchargés (ex. : unité de stockage pleine, attaque par déni de service).
-
Déterminer les mesures existantes ou prévues
Elles permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
-
Estimer la gravité et la vraisemblance des risques
Au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).
Le tableau suivant peut être utilisé pour formaliser cette réflexion :
| Risques |
Impacts sur les personnes |
Principales sources de risques |
Principales menaces |
Mesures existantes ou prévues |
Gravité pour les personnes |
Vraisemblance |
|---|---|---|---|---|---|---|
| Accès illégitime à des données | ||||||
| Modification non désirée de données | ||||||
| Disparition de données |
Impacts sur les personn
Mettre en œuvre et vérifier les mesures prévues
Si les mesures existantes et prévues sont jugées appropriées, il convient de s’assurer qu’elles soient appliquées et contrôlées. Sinon, des mesures supplémentaires doivent être décidées et mises en place pour abaisser la gravité et/ou
la vraisemblance des risques associés.
Pour aller plus loin
- Le RGPD introduit les analyses d’impact relatives à la protection des données (AIPD) et précise que celles-ci doivent au moins contenir « une description [...] des opérations [...] et des finalités du traitement [...], une évaluation de la nécessité et de la proportionnalité [...], une évaluation des risques [...] et les mesures envisagées pour faire face aux risques [...] et visant à apporter la preuve du respect du règlement » (voir article 35.7). La réflexion sur les
risques dont il est question dans cette fiche permet d’alimenter le volet sur l’appréciation des risques de l’analyse d’impact. - Les guides AIPD de la CNIL permettent de mener une analyse d’impact relative à la protection des données. La CNIL a également publié un logiciel pour faciliter la conduite et la formalisation d’AIPD.
- Les audits de sécurité sont un moyen essentiel pour évaluer le niveau de sécurité d’un traitement de données personnelles. Réalisés de façon périodique, ils permettent de prendre en compte les évolutions du traitement et des menaces. Chaque audit doit donner lieu à un plan d’action dont la mise en œuvre devrait être suivie au plus haut niveau de l’organisme.
- L’étude des risques sur la sécurité de l’information peut être menée en même temps que l’étude des risques sur la vie privée. Ces approches sont compatibles.
- L’étude des risques permet de déterminer des mesures de sécurité à mettre en place. Il est nécessaire de prévoir un budget pour leur mise en œuvre.
