Sélectionner une page

Mise en œuvre de mesures appropriées permettant de garantir une sécurité

Afin de garantir la sécurité, le responsable du traitement évalue les risques inhérents au traitement et met en œuvre des mesures pour les atténuer, telles que :

– la pseudonymisation et le chiffrement des données à caractère personnel;

– des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

Notification des violations de données personnelles

En cas de violation de données à caractère personnel, le responsable du traitement devra en notifier la CNIL et les personnes concernées, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. La notification vaut pour le sous-traitant vers le responsable de traitement.

Comment se mettre en conformité ?

Les organisme doivent identifier les risques avant de déterminer les moyens adéquats pour les réduire, en évaluant:

  • les menaces et les vulnérabilités (acte malveillant, erreur humaine, attaque interne /externe…)
  • les impacts sur les personnes concernées en cas :
    • d’accès illégitime
    • de modification non désirée
    • de disparition
  •  la vraisemblance (comment chacun de ces scénarios pourrait-il arriver ?)

Il s’agit de déterminer quelles mesures (de prévention, de protection, de détection, de réaction…) mettre en place pour réduire ces risques à un niveau acceptable. Ces mesures de sécurisation peuvent être:

  • logiques (chiffrement, anonymisation, utilisation d’outils sécurisés pour le stockage et le partage des données…)
  • physiques (sécurisation des locaux)
  • organisationnelles (mise en place de contrôle, sensibilisation des collaborateurs)

Le délai très court de notification des violations de données nécessite la rédaction d’une procédure avec la mise en place d’une « cellule de crise » à activer en cas d’incident de sécurité majeur.

Articles RGPD sur la sécurité :

  • Article 32 -Sécurité du traitement
  • Article 25 -Protection des données dès la conception et protection des données par défaut

MOOC de l’ANSSI

https://secnumacademie.gouv.fr/

Mesures de sécurité de base :

– le guide de bonnes pratiques par CPME et l’ANSSI https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf

– le guide d’hygiene informatique de l’ANSSI https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf

Mesures spécifiques 

Les données sensibles doivent être protégées de manière plus poussée. Les mesures de sécurité doivent être adaptées au risque

https://www.cnil.fr/fr/securite-des-donnees-proteger-le-plus-sensible-de-maniere-specifique

Quand les risques sont élevés, une analyse d’impact PIA doit être réalisée. Cette analyse inclut une étude des risques sur la sécurité des données

https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd