RGPD | EP. 4 - La sécurité des données

Le RGPD et la sécurité des données

Le RGPD impose à tous les organismes pratiquant le traitement de données personnelles une obligation de moyen concernant les protection de celles-ci.

La CNIL (Commission Nationale de l’Informatique et des Libertés) propose un test de 4 questions afin d’évaluer le niveau de sécurité des données personnelles dans votre société :

• Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
• Les accès aux locaux sont-ils sécurisés ?
• Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
• Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?

Les moyens employés varieront en fonction de la sensibilité des données et des risques pour leurs propriétaires.

Afin de remplir votre obligation de moyen, voici des pratiques réalisables au sein de votre entreprise :

• Effectuer des mises à jour régulières des antivirus et logiciels employés.

Un logiciel obsolète présente des failles exploitables en cas de piratage.

• Instaurez une politique stricte du choix et du changement de mots des passes.

Imposez des mots de passes complexes, la CNIL recommande 8 caractères minimum, l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) en recommande 16, utilisant des symboles, des lettres majuscules et minuscules, ainsi que des chiffres. Plus l’alphabet utilisé et le nombre de caractères sont élévés, plus un mot de passe est sécurisé.

CONCILIUM vous recommande l’emploi de Dashlane ou encore de Keepass, qui sont des trousseaux virtuels permettant de générer des mots de passe complexes avec l’option d’y accéder à l’aide d’un fichier crypté en plus d’un mot de passe général.

• Le RGPD impose également d’appliquer une politique d’anonymisation ou de pseudonymisation des données.

L’anonymisation modifie le contenu ou la structure des données afin d’empêcher la ré-identification. Sachez qu’elle reste toutefois possible par recoupement des données.

La pseudonymisation consiste à stocker séparément les données d’identification du reste des données d’une personne, attribuant celles-ci à une identité virtuelle ou pseudonyme. Il s’agira alors de conditionner l’accès aux données d’identification à une clé qui devra faire l’objet d’un contrôle d’accès renforcé.

Nous vous conseillons de porter vos efforts sur la pseudonymisation des données qui est facile à mettre en œuvre pour un résultat en accord avec le RGPD.

• **Enfin, nous vous conseillons de chiffrer les données les plus sensibles.

** Le chiffrement est le procédé qui rend la compréhension d’un document impossible à toute personne qui n’a pas la clé de déchiffrement. Concrètement, le chiffrement d’un document transforme à l’aide d’une clé de chiffrement un message en clair en un message incompréhensible (dit texte chiffré) pour celui qui ne dispose pas de la clé de déchiffrement. Voici quelques logiciels adaptés : VeraCrypt, DiskCryptor ou encore AxCrypt.

Le RGPD entre en vigueur très prochainement : le 25 Mai.

CONCILIUM vous accompagne en cette période d’évolution juridique. N’hésitez pas à nous contacter.

NDLR : Cet article n’équivaut pas au conseil juridique d’un praticien du droit. Il s’agit de bonnes pratiques mises à votre disposition. Nous disposons d’une offre RGPD avec si nécessaire un conseil juridique offert par un praticien du droit.