Les risques d’entreprise

Après avoir analysé le risque LPD, celui que courent les individus dont les données sont traitées par les collectivités locales, les hôpitaux et les entreprises en tout genre, il est important de prendre en considération le risque de sécurité interne d’une organisation.

Ceci car un site internet, un réseau informatique ou une base de données bien protégés, donnent lieu à une évaluation basse lors d’une analyse de risque LPD. En effet, la société qui se protège, protège également son patrimoine, ses données personnelles et ses informations confidentielles en tout genre.

L’article 8 de la LPD complètement consacré à la sécurité du traitement, indique que chaque organisation responsable du traitement ou sous-traitant doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque, encouru. De même la section 1 de l’OPDO, l’ordonnance sur la protection des données, traite de la sécurité des données en énonçant les principes, les objectifs et les mesures techniques et organisationnelles spécifiques pour assurer la confidentialité, la disponibilité, l’intégrité et la traçabilité des données à caractère personnel, reprises ci-dessous qui s’organisent autour du thème de l’autorisation de traitement. En effet, toutes les mesures de sécurité concernent seulement les personnes autorisées qui ont suivi une formation spécifique.

Ainsi, « pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que :

a. les personnes autorisées n’aient accès qu’aux données personnelles dont elles ont besoin pour accomplir leurs tâches (contrôle de l’accès aux données) ;

b. seules les personnes autorisées puissent accéder aux locaux et aux installations utilisés pour le traitement de données (contrôle de l’accès aux locaux et aux installations) ;

c. les personnes non autorisées ne puissent pas utiliser les systèmes de traitement automatisé de données personnelles à l’aide d’installations de transmission (contrôle d’utilisation).

Pour assurer la disponibilité et l’intégrité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que :

a. les personnes non autorisées ne puissent pas lire, copier, modifier, déplacer, effacer ou détruire des supports de données (contrôle des supports de données) ;

b. les personnes non autorisées ne puissent pas enregistrer, lire, modifier, effacer ou détruire des données personnelles dans la mémoire (contrôle de la mémoire) ;

c. les personnes non autorisées ne puissent pas lire, copier, modifier, effacer ou détruire des données personnelles lors de leur communication ou lors du transport de supports de données (contrôle du transport) ;

d. la disponibilité des données personnelles et l’accès à celles-ci puissent être rapidement restaurés en cas d’incident physique ou technique (restauration) ;

e. toutes les fonctions du système de traitement automatisé de données personnelles soient disponibles (disponibilité), que les dysfonctionnements soient signalés (fiabilité) et que les données personnelles stockées ne puissent pas être endommagées en cas de dysfonctionnements du système (intégrité des données) ;

f. les systèmes d’exploitation et les logiciels d’application soient toujours maintenus à jour en matière de sécurité et que les failles critiques connues soient corrigées (sécurité du système).

Pour assurer la traçabilité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que :

a. il soit possible de vérifier quelles données personnelles sont saisies ou modifiées dans le système de traitement automatisé de données, par quelle personne et à quel moment (contrôle de la saisie) ;

b. il soit possible de vérifier à qui sont communiquées les données personnelles à l’aide d’installations de transmission (contrôle de la communication) ;

c. les violations de la sécurité des données puissent être rapidement détectées (détection) et que des mesures puissent être prises pour atténuer ou éliminer les conséquences (réparation) ».

L’art. 32 du RGPD indique quant à lui, des techniques bien précises comme la pseudonymisation et le chiffrement des données à caractère personnel ; les sauvegardes de données à caractère personnel ; les procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles en place et enfin la formation du personnel.

Nous reconnaissons ici les mesures de sécurité prônées par le standard ISO 27001 et l’agence de sécurité internationale ENISA pour ne citer que ces deux exemples.

La loi nous indique donc que les organisations qui traitent des données personnelles doivent se protéger pour assurer la meilleure protection possible aux personnes physiques, mais aussi pour leur activité quotidienne et pour leur survivance. Donc pour être conforme au RGPD les entreprises doivent mesurer en interne les risques qui pèsent sur leur organisation et leurs processus et le DPO doit pouvoir connaitre les mesures de sécurité existantes pour évaluer si elles sont appropriées. Les mesures de sécurité couvrent donc un double objectif.

Il est vivement conseillé de mettre en place un questionnaire de sécurité basé sur les meilleurs standards afin de valider chaque année une liste exhaustive qui contient les mesures de sécurité existantes et les efforts que l’organisation doit encore faire. Ceci est appliqué sur l’organisation en général, sur les systèmes et les App informatiques utilisées. Cette liste de sécurité doit faire l’objet d’un contrôle périodique afin de vérifier si les mesures existantes sont suffisantes et individualiser les nécessités avec des grades de priorité. Ses priorités doivent être prévues dans le budget de sécurité et faire l’objet d’un programme d’amélioration précis.

Les efforts prioritaires doivent se concentrer sur les systèmes considérés à risque, ceux qui contiennent un grand nombre de données personnelles, des données appartenant à des personnes vulnérables comme les mineurs ou les personnes atteintes de handicap et enfin des catégories particulières de données portant sur l’état de santé, l’origine raciale, les opinions politiques, les convictions religieuses, des données génétiques…

Il existe des risques communs à ces deux domaines comme la cybercriminalité qui n’est pas propre au RGPD, mais qui peut entrainer de lourdes conséquences lorsque la cyber-attaque touche aux données à caractère personnel. Ainsi l’obligation de mettre en place des mesures techniques et organisationnelles appropriées et efficaces est fondamentale pour se défendre de ce genre d’attaques.

La meilleure protection est la gestion de la sécurité informatique comme un processus d’amélioration continue qui implique la mise à jour méthodique du système d’exploitation et des logiciels utilisés, l’adoption d’antivirus de nouvelle génération avec des extensions anti-malware, l’utilisation de pare-feu, des techniques de cryptage et la création de sauvegardes de données. Avec une sauvegarde valide, si nécessaire, l’entreprise pourra restaurer les données devenues inaccessibles, au moins jusqu’à la dernière sauvegarde.

De plus, le choix d’un consultant spécialisé qui dispose d’un programme de contrôle spécifique dans le domaine de la sécurité pour protéger les données personnelles, tel que précisé par la LPD, et dispose d’un programme de vérification périodique avec la DSI sur le suivi et l’évolution de la Cybersécurité est essentiel pour développer une plus grande sensibilisation et une meilleure gestion des risques en identifiant les menaces et en étant capable d’arrêter une cyberattaque avant qu’il ne soit trop tard.

Enfin, la sensibilisation et la formation des collaborateurs à travers des formations calibrées sur les rôles et responsabilités tels que les administrateurs système, la fonction informatique et l’ensemble du personnel de l’entreprise sont d’une importance cruciale. Comme le rappelle le CLUSIT, le facteur humain est la principale garantie de l’entreprise et bien souvent les attaques réussissent grâce à un taux de négligence qui aurait dû et aurait pu être évité sans difficulté excessive avec des personnes averties. Aucune technologie ne peut être considérée comme autosuffisante. Tous les employés doivent être conscients des dangers et des conséquences de leurs actions sur le web qui peuvent compromettre l’ensemble du réseau de l’entreprise.

Il faut retenir que des cyberattaques peuvent engendrer une violation de données à caractère personnel pour un organisme, entrainant des effets dévastateurs sur la vie des personnes concernées. C’est la raison pour laquelle la LPD impose aux organismes une obligation de notification des violations de données de la part du sous-traitant au responsable de traitement et ensuite de la part du responsable de traitement au préposé fédéral à la protection des données et à la transparence (PFPDT) et ce dans les meilleurs délais (article 24 LPD).

Cette obligation de notification envers le PFPDT est obligatoire pour l’organisme lorsque la violation de données entraine vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

Fabienne Flesia

👉 Inscrivez-vous à notre newsletter “Data Management et Business” sur notre page Linkedin.

Condividi

Post Recenti

EDPB: Data processing supply chain – 3

The Foodinho case

A verbal communication can be a “processing”