La CNIL (Commission nationale de l’informatique et des libertés), autorité administrative française, veille à la protection des données personnelles des citoyens. Le RGPD, applicable le 25 mai 2018, implique que chaque entreprise respecte les données collectées des personnes physiques. Dans ce cadre, la CNIL recommande certaines mesures à mettre en place afin de sécuriser au maximum les informations et ainsi, d’être conforme au RGPD. Nous vous exposons l’essentiel en 10 points clés !
1. Avertir les utilisateurs
La CNIL préconise de sensibiliser tous les utilisateurs qui travaillent au quotidien avec des informations à caractère personnel. En effet, il est nécessaire qu’ils prennent conscience des risques informatiques liés à l’utilisation d’informations sensibles. Il est par exemple recommandé de mettre à leur disposition un document officiel présentant les mesures à respecter concernant le bon usage du traitement des données de chaque personne, l’utilisation de sa messagerie etc. Le but étant simplement de faire comprendre à chacun qu’il est essentiel de ne pas porter atteinte à la confidentialité de chaque donnée.
2. Définir les utilisateurs et leurs accès
La question d’authentification des utilisateurs se pose. Il s’agit tout d’abord d’identifier toutes les personnes amenées à manipuler des données et de leur créer un compte avec un identifiant et un mot de passe unique, avant d’accéder à toute information. Ceci, dans l’objectif que chaque utilisateur traite uniquement les données dont il a besoin afin de réaliser ses missions.
3. Tracer les actions effectuées
Un système de vérification des actions effectuées doit être mis en place afin d’obtenir une traçabilité complète. L’objectif est d’avoir un suivi sur les activités de chaque utilisateur afin d’identifier des utilisations abusives de données personnelles. Pour cela, la CNIL incite les entreprises à créer un système de journalisation des événements lié aux accès des utilisateurs (en les tenant informés au préalable).
4. Protéger les postes de travail
Il est essentiel de sécuriser tous les accès aux postes de travail afin de prévenir les fraudes, les prises de contrôle d’une session, ou encore les virus. C’est pourquoi la CNIL suggère notamment :
- d’avoir recours à un système de verrouillage de session de chaque utilisateur si ce dernier ne se trouve pas devant son poste de travail
- de mettre en place un pare-feu au niveau du logiciel et de mettre à jour au quotidien les antivirus et applications
- de restreindre la connexion aux clés USB, disques durs externes, etc.
5. Protéger le réseau interne, les serveurs et les sites Internet
La CNIL préconise par ailleurs de sécuriser le réseau informatique interne au sein de chaque entreprise. Il est nécessaire de protéger les serveurs en réduisant par exemple les accès à certaines interfaces internes. Les sites Internet doivent également garantir la protection des informations. Pour cela, vous pouvez vous rendre sur des sites sécurisés.
6. Renforcer la sécurité mobile
Au sein des entreprises, les utilisateurs sont amenés à utiliser des outils mobiles dans le cadre de leur travail. Quelques précautions sont à prendre : informer les utilisateurs des risques potentiels (comme les vols), réfléchir à des dispositifs pour chiffrer des pc portables, des clés USB, etc.
7. Sauvegarder et archiver ses données
Sauvegarder ses données c’est assurer leur protection et limiter leur disparition. Très précieuses au sein d’une entreprise, il est primordial de prévoir des sauvegardes quotidiennes, et si possible, sur un autre site en cas de panne ou de sinistre.
Si vous n’utilisez pas certaines données régulièrement, archivez-les afin d’en assurer une sécurité maximale. Elles restent toujours disponibles mais ne sont plus directement atteignables. Dans ce contexte, prévoyez une stratégie de gestion des archives pour déterminer les données à mettre de côté, le moment et l’endroit.
S’agissant des opérations de maintenance, assurez-vous que vos données aient été au préalable effacées en toute sécurité.
8. Contrôler la sous-traitance et la transmission des données
Si vous travaillez avec des sous-traitants, vérifiez leur politique de sécurité et de confidentialité en ce qui concerne les données confiées. Pour cela, vous pouvez par exemple créer un contrat avec vos sous-traitants en précisant les obligations de chaque partie.
Par ailleurs, dès que vous envoyez des données à des tiers, pensez à les chiffrer. Quant à votre messagerie électronique, il est recommandé de ne pas envoyer des éléments en clair.
9. Sécuriser ses locaux
Sécuriser ses données, c’est également sécuriser ses locaux. En effet, l’accès aux informations et plus généralement aux matériels informatiques, doit être contrôlé. Il est aussi important de protéger vos locaux notamment à l’aide de détecteurs de fumée et d’alarmes.
10. Mettre en place des paramètres de sécurité
Afin de protéger vos données dès le commencement d’un projet en entreprise, la CNIL conseille de développer de nouvelles fonctionnalités et technologies. Vous pouvez par exemple utiliser des données fictives lors de vos phases de test et créer des applications en intégrant initialement la protection de la vie privée.
Ayez également recours à des algorithmes spécifiques et des clés secrètes afin de conserver l’intégrité de vos informations.
Pour en savoir plus, n’hésitez-pas à consulter le guide de la CNIL.
