La sécurisation des données est sans nul doute l’un des composants principaux du RGPD. En fait, l’ensemble des dispositions du nouveau règlement porte en fin de compte sur cette thématique. Dans le RGPD, sécuriser les données est une obligation générale pour les entreprises. Et le respect de cette obligation s’accompagne de la mise en place de mesures de gestion des failles de sécurité efficaces.
L’obligation générale de sécurité
Le RGPD impose au responsable de traitement et au sous-traitant de mettre en place des mesures techniques et organisationnelles efficaces pour offrir un niveau de sécurité des données personnelles élevé (rendez-vous sur le lien suivant pour plus d’infos sur la définition des données personnelles).
C’est l’obligation générale de sécurité. Concrètement, le respect de cette obligation passera par la mise en place de diverses actions:
- Un process d’évaluation des risques d’atteintes aux données et sur les droits et libertés des personnes;
- Des mesures de sécurité des données correspondant au niveau de risque identifié (gestions des habilitations, formations des populations à risque, traçabilité des accès et actions sur les données, pseudonymisation des données, interdiction des communications directes entre des collaborateurs internes et l’extérieur, mise à jour des logiciels et des antivirus…
- Conception de procédures pour tester et évaluer régulièrement la performance des mesures techniques et organisationnelles mise en place pour sécuriser les traitements. La conception de ces procédures se fait avec l’assistance des auditeurs techniques et juridiques.
La gestion des failles de sécurité
En plus de l’obligation générale de sécurité des données que doivent respecter les responsables de traitement et les sous-traitants, le RGPD prévoit également que les violations des données à caractère personnel fassent l’objet d’une gestion bien spécifique.
- Notification à l’autorité de contrôle
Il s’agira tout d’abord de notifier l’autorité de contrôle dans les 72 heures après la prise de connaissance de la violation. Passé ce délai, un motif valable doit être présenté. Le contenu de la notification est déjà prévu par le RGPD, c’est principalement une redite des mesures prises pour limiter les risques. Une documentation de la faille de sécurité est jointe à la notification.
- Communication à la personne
L’entreprise devra également notifier la personne concernée si la violation est susceptible d’entraîner un risque élevé pour ses droits et libertés. Ici encore, le contenu de la communication est déjà défini par le RGPD. Il faut juste remarquer que la communication doit être rédigée de manière claire et simple. Le but étant de permettre à la personne concernée de bien comprendre les raisons de la faille, les risques pour ses données, et bien évidemment les mesures prises par l’entreprise pour limiter ses risques.
- Pour une meilleure gestion des failles de sécurité
Quelques bonnes pratiques permettent de gérer plus efficacement les failles de sécurité. Il s’agira:
- De concevoir une procédure de gestion des failles définissant les grandes étapes de la gestion (méthode d’identification, constitution d’un dossier de preuve, communiqué de presse…);
- D’élaborer des modèles types: modèle de notification à destination de la CNIL, modèle de communication à destination de la personne concernée;
- Concevoir un registre retraçant l’historique des failles de sécurité et où sont notés les retours et les dispositions prises pour résoudre le problème…