Vous êtes tenu d’assurer la sécurité des données personnelles que vous détenez
Garantissez-vous contre les risques de pertes de données ou de piratage.
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.
Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations.
En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.
Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles. Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.
Sensibiliser les utilisateurs travaillant avec des données à caractère personnel :
Les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement. Organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les fonctions des personnes, faire des rappels par messagerie électronique, etc.
Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données à caractère personnel, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer.
Rédiger une charte informatique et lui donner une force contraignante (ex. annexion au règlement intérieur).
Cette charte devrait au moins comporter les éléments suivants :
- Le rappel des règles de protection des données et les sanctions encourues en cas de non-respect de celles-ci.
- Le champ d’application de la charte, qui inclut notamment :
- Les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisme.
- Les moyens d’authentification utilisés par l’organisme.
Les règles de sécurité auxquelles les utilisateurs doivent se conformer, ce qui doit inclure de :
- Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement.
- Ne jamais confier son identifiant/mot de passe à un tiers.
- Ne pas installer, copier, modifier, détruire des logiciels sans autorisation.
- Verrouiller son ordinateur dès que l’on quitte son poste de travail.
- Ne pas accéder, tenter d’accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur.
- Respecter les procédures préalablement définies par l’organisme afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité.
Les modalités d’utilisation des moyens informatiques/télécommunications mis à disposition comme :
- Le poste de travail.
- Les équipements nomades (notamment dans le cadre du télétravail).
- Les espaces de stockage individuel.
- Les réseaux locaux.
- Les conditions d’utilisation des dispositifs personnels.
- L’Internet.
- La messagerie électronique.
- La téléphonie.
Exemple
Vous êtes restaurateur et vous livrez à domicile. Vos clients vous communiquent leur adresse précise et le code d’entrée de leur immeuble. Si ces informations sont piratées ou perdues, elles peuvent être utilisées pour s’introduire frauduleusement au domicile de votre client.
Conséquence désastreuse pour vos clients, mais aussi pour vous !
Bonne pratique
- Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser :
- Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
- Les accès aux locaux sont-ils sécurisés ?
- Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
- Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?