Sécuriser les données collectées : assurer une protection optimale des données personnelles

Fiche pratique

INFOREG

La sécurité des données représente un enjeu majeur pour les personnes qui ont confiées leurs données personnelles à l’entreprise. La sécurité des données doit être un impératif pour le responsable de traitement (RT), lui permettant de garantir l’intégrité des données tout en minimisant les risques de pertes de données ou de piratage.

Quels sont les risques sécuritaires en cas de collecte de données personnelles ?

La sécurité des données personnelles doit permettre d’éviter toute violation des données qui pourrait entrainer :

la destruction des données personnelles ;
la modification non souhaitées des données ;
la perte des données personnelles ;
l’altération, données personnelles ;
la divulgation non autorisée des données transmises, conservées ou traitées d’une autre manière ;
l’accès non autorisé à de telles données.

A quel moment mettre en place les mesures de sécurité ?

Les mesures de sécurité doivent être prises au moment de la collecte, durant la transmission et la conservation des données transmises. Autrement dit, jusqu’à leur suppression, les données doivent être conservées dans des conditions de nature à en garantir la sécurité et l’intégrité.

Quelles actions mettre en place ?

Le RT est soumis à une obligation légale de garantie de la sécurité des données personnelles qu’il détient.
Pour cela, il doit prendre des mesures techniques et organisationnelles concrètes et adéquates au regard des risques et de la nature des données, telles que :

des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, tels que :
- mises à jour des antivirus et logiciels,
- changement régulier des mots de passe et utilisation de mots de passe complexes,
- définition des personnes habilitées,
- chiffrement des données dans certaines situations,
- pseudonymisation et le chiffrement des données à caractère personnel ;
des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Le RT peut consulter des polices d’assurance (responsabilité civile, dommages couverts...) et surtout les services à l’assuré (notamment l’assistance en cas de sinistre, de gestion de crise ....).

Le RT doit également veiller à sensibiliser les collaborateurs dans l’entreprise aux règles élémentaires de sécurité, telles que:

log-in, et mot de passe personnels complexes ;
poste de travail verrouillé dès que l’on s’absente ;
ne pas stocker des documents professionnels sur des outils personnels, etc.

La mise en œuvre des mesures de sécurité incombe également au sous-traitant. En ce sens, il faut déterminer précisément les responsabilités de chacune des parties dans le contrat.

Comment évaluer les actions adaptés au traitement envisagé ?

Une étude de risque doit être menée par le RT, c’est-à-dire :

analyser les besoins de sécurité de chaque traitement mis en œuvre ;
et mettre en place les mesures de sécurisées appropriées.

Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, le RT peut se poser les questions suivantes :

les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
les accès aux locaux sont-ils sécurisés ?
des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
une procédure de sauvegarde et de récupération des données en cas d’incident est-elle mise en place ?

Le RT doit tenir à jour un registre des violations de données personnelles et des procédures de notification à la CNIL.

En cas de violation, que doit faire l'entreprise ?

En cas de violation de violations de données personnelles, l’entreprise doit impérativement contacter la CNIL dans les 72h au plus tard après en avoir pris connaissance, si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.

Cette notification s’effectue en ligne sur le site internet de la CNIL.

La notification doit comporter les éléments d’informations suivants :

description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
communication du nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
description des conséquences probables de la violation de données à caractère personnel ;
description des mesures prises pour remédier à la violation de données à caractère personnel.

Si ces risques sont élevés pour les droits et libertés des personnes concernées, le RT doit les en informer également et ce dans les meilleurs délais.

Pour en savoir plus

Guide des bonnes pratiques de l’informatique réalisé par l’ANSSI et la CPME
Guide sécurité des données personnelles sur le site internet de la CNIL
En cas de difficultés (un sinistre, une attaque informatique, etc.), le site gouvernemental cybermalveillance.gouv.fr propose de l’aide en ligne ainsi qu’une liste de prestataires approuvés

Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)

Mis à jour le 07/12/2021

Le Règlement Général sur la Protection des Données (RGPD)

Le Règlement Général sur la Protection des Données concerne toutes les entreprises qui collectent, stockent et/ou traitent des données personnelles.