Le RGPD est le règlement général sur la protection des données personnelles. Lorsque l’on parle de « protection des données » on doit évidemment porter une attention toute particulière à la « sécurisation des données ». Mais qu’est-ce que ce principe de sécurité signifie concrètement ?
C’est un des grands principes du RGPD, alors on vous explique tout en 5 min de lecture. Prenez un verre d’eau et des pop-corn ! ?
La réponse au sondage « Dans le cadre du RGPD, un risque est un évènement qui est susceptible d’engendrer une perte de… ? »
Pour introduire le sujet, nous vous avons proposé un sondage, le 1er mars dernier sur notre page LinkedIn, en vous demandant « Dans le cadre du RGPD, un risque est un évènement qui est susceptible d’engendrer une perte de… ».
Bien joué ! Sur 222 votants, 87% d’entre vous ont « Les 3 réponses ». En effet, un risque est un évènement qui est susceptible d’engendrer une perte de confidentialité, d’intégrité et de disponibilité.
6 principes à respecter pour le responsable de traitement
La sécurité est l’un des 6 grands principes que le responsable de traitement doit respecter pour mettre en œuvre un traitement conforme au regard du RGPD. ?
En effet, selon l’article 5.1 du RGPD le traitement de données à caractère personnel doit répondre à plusieurs principes :
- La licité, la loyauté et la transparence,
- La limitation de la conservation,
- La limitation des finalités,
- La minimisation que nous avons pu évoquer la semaine dernière,
- L’exactitude des données collectées,
- Et le dernier principe : la sécurité
Comprendre le principe de sécurité
Aux termes du RGPD, le responsable de traitement doit assurer la sécurité des données personnelles qu’il traite. Son objectif est de garantir l’intégrité et la confidentialité des données. Il doit donc identifier et mesurer au préalable les risques encourus par les personnes concernées du fait du traitement considéré. Il doit, mettre en œuvre les mesures techniques et organisationnelles appropriées au regard des risques identifiés. Ces mesures de sécurité physiques mais également logiques doivent être proportionnées.
Un risque est un évènement susceptible d’engendrer une perte de confidentialité, d’intégrité ou de disponibilité des données. Il faut donc qualifier ces risques et mettre en place des mesures techniques ou organisationnelles pour les prévenir.
Quelles sont les mesures du principe de sécurité à mettre en œuvre ? ?
L’article 32 du RGPD préconise que le responsable de traitement et le sous-traitant prennent des mesures telles que :
- La pseudonymisation et le chiffrement des données,
- Des moyens pour assurer l’intégrité, la résilience, la disponibilité et la confidentialité des données,
- Des moyens permettant de rétablir l’accès et la disponibilité des données en cas d’incident dans des délais appropriés.
- Une procédure pour tester, évaluer et analyser l’efficacité des techniques pour garantir la sécurité du traitement des données.
Plus concrètement, il peut s’agir de mesures physiques comme la réglementation de l’accès à vos locaux ou de l’accès à vos dossiers dans une armoire sécurisée. ?
Concernant les mesures logiques (celles afférentes d’une manière générale aux mesures de sécurité informatiques, logicielles), vous pouvez par exemple :
- imposer le changement régulier de vos mots de passe,
- mettre en place un procédé d’authentification spécifique,
- mettre en place une politique de sauvegarde des données,
- déployer une protection anti-virus, des tests d’intrusion,
- traiter les données sur un réseau interne dédié, etc…
Sanction par la CNIL en raison d’un manquement en matière de sécurité ?♂️
En décembre 2021, la CNIL sanctionne à hauteur de 180 000€ la société SLIMPAY, laquelle propose à ses clients des solutions de paiements. En 2015, à la suite d’un projet de recherche interne, elle stocke des données. personnelles, sans mettre en place de mesures de sécurité appropriées. Il s’avère que lesdites données sont librement accessibles sur internet. C’est seulement 5 ans plus tard, informée par un de ses clients, que SLIMPAY se rend compte de cette violation de données qui concernait 12 millions de personnes.
La CNIL retient trois manquements suite à un contrôle réalisé en 2020. ?
En matière de sécurité, l’autorité de contrôle relève un manquement à l’article 32 du RGPD. En effet le serveur de SLIMPAY était librement accessible sur internet de novembre 2015 à février 2020. Celui-ci contenait non seulement des données relatives à l’état civil des personnes (nom, prénom, civilité), mais aussi leurs adresses mail et postales, leur numéro de téléphone ainsi que leurs informations bancaires.
La CNIL relève également un manquement à l’article 34 du RGPD (aux termes duquel le responsable de traitement doit notifier les violations de données dont il a connaissance à la CNIL et dans certains cas aux personnes concernées). SLIMPAY n’a pas notifié la violation de données aux 12 millions de personnes concernées. L’autorité de contrôle rappelle que la notification de la violation de données aux personnes concernées est obligatoire si la violation représente un risque élevé. Pour mesurer le risque, il faut considérer :
- La nature des données traitées,
- Le nombre de personnes concernées,
- Les conséquences éventuelles pour les personnes.
En s’appuyant sur ces critères, la CNIL relève que SLIMPAY aurait dû prévenir les personnes et pouvait le faire car les personnes touchées étaient identifiables.
La sécurité est donc un enjeu pour le responsable de traitement :
- tant en amont dans l’organisation de son système d’information et la mise en œuvre des traitements,
- qu’en aval en cas d’incidents de sécurité et leur résolution.
Pour éviter de devoir prévenir la CNIL en cas de violation de données, mieux vaut donc anticiper et tout mettre en œuvre pour éviter de tels incidents.
Mission RGPD face au principe de sécurité
Malgré cet article, vous avez du mal à comprendre ce que vous devez mettre en place ? Ce n’est pas clair ? Vous avez besoin d’aide ?
Notre webinaire du 21 septembre « RGPD et sécurité informatique : l’enjeu des mesures techniques et organisationnelles » vous permet d’aller plus loin et d’obtenir une méthodologie claire pour auditer votre structure en matière de sécurité tant en interne que dans vos rapports avec vos prestataires. Vous pourrez également retrouver dans ce webinaire des conseils sur la manière de mettre en place avec Mission RGPD les actions et documents juridiques nécessaires à votre conformité et assurer le maintien d’un niveau de sécurité suffisant tout au long de la vie de votre structure.
✅ Avec Mission RGPD, vous pourrez vous mettre en conformité simplement et respecter vos obligations en toute sérénité. La sécurité de vos traitements ne sera plus un problème.
Ne perdez plus de temps, c’est si simple !