Règlement Général sur la Protection des Données (RGPD) de l’Union européenne

Cet article n’est qu’un résumé des textes pour mettre en évidence les exigences du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne. Pour consulter les documents officiels reportez vous à la fin de cet article pour trouver les liens utiles.

La régulation Européenne GDPR (General Data Protection Regulation) ou RGPD en Français (Règlement Général sur la Protection des Données) a été adoptée par le Parlement Européen et le Conseil de l’Union Européenne le 27 Avril 2016. Les entreprises, les associations, les établissements publics et les institutions Gouvernementales de tous les pays membres doivent se conformer à cette régulation depuis le 25 Mai 2018.

Les développements technologiques et la prolifération des données sur tous les nouveaux supports rendaient nécessaires ces nouvelles dispositions sur la protection des données. Le constat est clair. Les appareils mobiles sont omniprésents partout et il n’est pas rare qu’une seule personne en possède deux ou trois. Les données professionnelles sensibles sortent aujourd’hui du périmètre de sécurité des réseaux informatiques traditionnels de l’entreprise. Les employés s’envoient des documents par courriel, utilisent leurs smartphones et tablettes personnelles pour accéder à leurs données professionnelles et stockent leurs données dans le Cloud.

Avec ce règlement, on assiste à un allègement considérable des obligations en matière de formalités préalables, puisque le régime déclaratif est totalement supprimé, pour entrer dans l’ère de la gouvernance des données personnelles et responsabilisation des dirigeants, ce qui entraîne une documentation continue des actions menées sur les données, pour être en capacité de piloter et de démontrer la conformité au règlement.

Qui est concerné par le RGPD ?

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens. Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD. De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le règlement.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Données concernées :

Les données personnelles correspondent à toutes les informations qui, directement ou indirectement, permettent d’identifier un individu. Il peut s’agir de données privées, professionnelles ou publiques. Il peut s’agir d’un nom, d’une photo, d’une adresse électronique, de coordonnées bancaires, de messages publiés sur des réseaux sociaux, d’informations médicales ou de l’adresse IP de son ordinateur.

Sécurité du traitement :

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité conforme aux exigences du RGPD.

Principales mesures à prendre :

  1. Le chiffrement des données pour le rendre illisibles aux personnes non autorisées.
  2. Des moyens techniques et humains permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
  3. Des moyens techniques et humains permettant de rétablir la disponibilité des données et l’accès à celles-ci, dans des délais appropriés en cas d’incident physique ou technique.
  4. Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité des traitements.

Par où commencer :

  1. Identifiez les données sensibles et nécessaires à l’activité.
  2. Définir les personnes habilitées ayant accès aux données sensibles.
  3. Constituez un registre de vos traitements de données.
  4. S’assurer que vous ne conservez pas les données au-delà de ce qui est nécessaire.
  5. Poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.
  6. Respectez les droits des personnes, vous avez l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.).
  7. Permettez aux personnes d’exercer facilement leurs droits. Droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
  8. Sécuriser les données, obligation légale d’assurer la sécurité des données personnelles que vous détenez.

Si une entreprise omet d’adopter des règles internes, de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées, ne se conforme pas aux obligations énoncées dans le règlement ou si elle omet de notifier la violation de données à caractère personnel en temps utile ou de façon complète, l’autorité de contrôle peut lui infliger des sanctions administratives. A savoir : amendes administratives pouvant s’élever jusqu’à 20 000 000 € ou dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

FIDESINFO vous propose des solutions pour :

  1. Chiffrer, garantir l’intégrité des données.
  2. Tracer les accès et gérer les incidents
  3. Sécuriser les postes de travail
  4. Sécuriser l’informatique mobile
  5. Protéger le réseau informatique interne
  6. Sécuriser les serveurs
  7. Sauvegarder et prévoir la continuité d’activité
  8. Archiver de manière sécurisée
  9. Sécuriser les échanges avec d’autres organismes

Il est également nécessaire de désigner un délégué à la protection des données (DPO), ce délégué a une fonction située au cœur de la conformité au RGPD, il conseille et accompagne les organismes qui le désignent dans leur conformité.

Ce qui ressort de tout cela c’est que l’on va accentuer la sécurisation de tous les processus informatiques. Dès qu’il y a une donnée personnelle, il doit y avoir un degré de sécurité physique et logique suffisant pour garantir une protection totale à celui qui a confié la donnée.

Bon à savoir :

Dans chaque système d’exploitation (Android, IOS, MacOS, Linux, Windows,…), logiciel ou application, des vulnérabilités existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs des mises à jour de sécurité. Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les attaquants exploitent ces vulnérabilités pour mener à bien leurs opérations encore longtemps après leur découverte et leur correction.

Caroline, administrateur du système d’information d’une PME, ne met pas toujours à jour ses logiciels. Elle a ouvert par mégarde une pièce jointe piégée. Suite à cette erreur, des attaquants ont pu utiliser une vulnérabilité logicielle et ont pénétré son ordinateur pour espionner les activités de l’entreprise.

Lorsque vous utilisez votre ordinateur, vous bénéficiez de droits d’utilisation plus ou moins élevés sur celui-ci. On distingue généralement les droits dits d’utilisateur et les droits dits d’administrateur. L’utilisateur Administrateur dispose de tous les droits d’utilisation sur l’ordinateur. Dans l’utilisation quotidienne de votre ordinateur (naviguer sur Internet, lire ses courriels, utiliser des logiciels de bureautique, de jeu,…), prenez un compte utilisateur. Il répondra parfaitement à vos besoins. Le compte administrateur n’est à utiliser que pour intervenir sur le fonctionnement

Franck naviguait sur Internet depuis un compte administrateur de son entreprise. Il a cliqué par inadvertance sur un lien qui l’a conduit sur une page web infectée. Un programme malveillant s’est alors installé automatiquement sur son ordinateur. L’attaquant a pu désactiver l’antivirus de l’ordinateur et avoir accès à l’ensemble des données de son service, y compris à la base de données clients.

Pour veiller à la sécurité de vos données, il est vivement conseillé d’effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires par exemple). Vous pourrez alors en disposer suite à un dysfonctionnement de votre ordinateur, de votre système d’exploitation ou à une attaque. Il est vivement conseillé de respecter la règle 3-2-1, 3 sauvegardes sur 2 supports différents dont une à l’extérieur de l’entreprise.

Patrick, commerçant, a perdu la totalité de son fichier client suite à une panne d’ordinateur. Il n’avait pas effectué de copie de sauvegarde.

L’utilisation du Wi-Fi est une pratique attractive. Il ne faut cependant pas oublier qu’un Wi-Fi mal sécurisé peut permettre à des personnes d’intercepter vos données et d’utiliser la connexion Wi-Fi à votre insu pour réaliser des opérations malveillantes

La borne d’accès à Internet de Julie est configurée pour utiliser le chiffrement* WEP. Sans que Julie ne s’en aperçoive, un voisin a réussi en moins de deux minutes, à l’aide d’un logiciel, à déchiffrer la clé de connexion. Il a utilisé ce point d’accès Wi-Fi pour participer à une attaque contre un site Internet gouvernemental. Désormais, Julie est mise en cause dans l’enquête de police.

Bien que proposant des services innovants et nombreux, les smartphones sont, pour le moment,  très peu sécurisés.

Jean possède un smartphone qu’il utilise à titre personnel et professionnel. Lors de l’installation d’une application, il n’a pas désactivé l’accès de l’application à ses données personnelles. Désormais, l’éditeur de l’application peut accéder à tous les SMS présents sur son téléphone.

Les courriels et leurs pièces jointes jouent souvent un rôle central dans la réalisation des attaques informatiques (courriels frauduleux, pièces jointes piégées,etc.).

Suite à la réception d’un courriel semblant provenir d’un de ses collègues, Charles a cliqué sur un lien présent dans le message. Ce lien était piégé. Sans que Charles le sache, son ordinateur est désormais utilisé pour envoyer des courriels malveillants diffusant des images pornographiques. 

A l’heure de responsabilisation du dirigeant par le RPD, il faut considérer que la cybersécurité est un facteur de productivité, de compétitivité et donc de croissance. Quelle que soit sa taille, une organisation doit prendre conscience qu’elle peut être à tout moment confrontée à la cybercriminalité. Il est donc nécessaire de se doter d’une politique de sécurisation des systèmes d’information inhérente à l’usage des nouvelles technologies.

Liens utiles :

CNIL : Consultez le texte officiel

CNIL : Par où commercer

CNIL Formations : Formation en ligne