1 Avr 2019
RGPD épisode 5

Guide RGPD, épisode 5 : vos données sont elles bien protégées ?

Lors de l’épisode 4, nous avons pu vérifier que vos données étaient collectées en conformité avec le règlement.

Nous allons maintenant vérifier si ces dernières sont bien protégées face aux différents risques de fuite.

Selon le RGPD, une fuite de données est définie comme une violation de la sécurité qui entraîne la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel. Cette fuite peut être accidentelle ou malintentionnée.

Par exemple l’accès aux dossiers du personnel par un employé non autorisé rentre dans cette définition, comme la simple perte d’une clé USB par un employé au même titre qu’un vol par hacking.

Le règlement précise que dans ce cas, le signalement doit être fait à la CNIL dans les 72 heures. Les sanctions financières maximales sont considérables (10 000 000 d’€ ou 2% du CA).

PROTÉGER LES DONNÉES : MAIS OU SONT ELLES ?

Savoir où sont les données personnelles dans l’entreprise est un premier pas… mais ce n’est pas si simple.

Pour illustrer cela, prenons l’exemple d’une entreprise qui souhaite envoyer des vœux par mail à ses clients et prospects :

Pour les clients, les données sont extraites de la gestion commerciale, pour les prospects elles sont extraites des listings de chaque commercial (déjà 2 types d’emplacement différents ). L’assistante commerciale fusionne les deux fichiers et élimine les doublons (travail sur Excel). Elle envoi le fichier sur son adresse email personnelle pour finir le travail le soir même (2 nouveaux emplacements). Une fois ce travail effectué, elle envoie le fichier Excel au directeur commercial par email. Ce dernier le télécharge sur son PC (2 nouveaux emplacements), le vérifie et le télécharge sur la plateforme d’ e-mailing de l’entreprise puis le copie sur une clé USB pour sauvegarde (2 nouveaux emplacements).

Dans cet enchaînement classique d’opérations, la donnée personnelle est donc désormais présente à 8 emplacements différents. De quoi rendre impossible toute protection, suppression effective ou mise à jour.

La première étape dans la protection des données est donc de limiter leur dispersion.

PROTÉGER LES DONNÉES : MAIS CONTRE QUOI ?

Nous l’avons vu en préambule, la donnée personnelle doit être protégée contre les risques suivants :

  • La destruction : les données qui vous ont été confiées sont détruites. Cette fuite est sans conséquence s’il s’agit d’un mail pour envoyer les vœux, elle peut être grave dans le cas de résultats d’examens médicaux par exemple;
  • La perte : Les conséquences sont plus graves que la destruction (les données ne sont plus disponibles) car s’y ajoutent le risque de divulgation (la clé USB perdue peut être trouvée par une personne mal intentionnée) ;
  • L’altération : La donnée existe toujours, mais est erronée. Par exemple, à la suite d’une mise à jour, des renouvellements de contrats sont automatiquement réalisés ;
  • La divulgation : Les données personnelles sont sorties et à la disposition de personnes non validées au départ. Il peut s’agir d’un vol de type Hacking (fuite de N° de cartes bancaires…) ou d’un détournement interne (le commercial qui part avec la liste de ses prospects qu’il va communiquer à une autre entreprise) ;
  • L’accès non autorisé : une personne du service de production à eu accès à des CV de candidat(e) pour un poste au service marketing.

 

PROTÉGER LES DONNÉES : MAIS COMMENT ?

L’utilisateur est en première ligne, c’est l’acteur qui est amené à faire le plus d’erreurs lors de la manipulation des données.

La digitalisation des données et des activités est un mouvement très récent. L’importance de la protection des données et les bonnes pratiques qui y sont attachées sont encore mal diffusées :

  • Les mots de passes des utilisateurs sont souvent insuffisants et parfois partagés ;
  • Des supports externes (clés USB) sont insérés sans contrôle ;
  • Les sessions restent ouvertes lors de l’absence d’un collaborateur ;
  • Les mails d’origine inconnue sont ouverts.

L’organisation des données est la ligne de défense puisqu’elle réduit les risques  :

  • Des outils de centralisation de l’information, en limitant la diffusion permettent de réduire les risques et simplifient la sécurité : de ce point de vue, un outil de gestion de la relation client sera plus sécurisé qu’une série de tableaux Excel ;
  • Une vraie réflexion sur les besoins et droits des utilisateurs permet d’éviter l’emprunt des identifiants et des mots de passe des collègues ;
  • Une mise en place de processus clairs, simples et unifiés permet de réduire les risques de recopie non maîtrisée des données personnelles.

Limiter les données personnelles à celles qui sont utiles, organiser les traitements, limiter la dispersion des données et des énergies sert autant au respect du RGPD qu’à l’accroissement de l’agilité et de l’efficacité de l’entreprise.

La technologie en renfort : Firewall, antivirus et autres cryptages

Même si ce n’est pas le premier levier, une entreprise bien organisée avec des collaborateurs bien formés et informés ne peut assurer une bonne sécurité de ses données (personnelles ou non) sans une infrastructure informatique performante et sécurisée :

  • Des outils mis à jour : Les mises à jour de vos logiciels permettent de corriger les failles de sécurité détectées ;
  • Des sauvegardes régulières, vérifiées et organisées en fonction de votre usage de l’informatique ;
  • Des accès à votre réseau sécurisé avec un firewall adapté et à jour, un réseau Wifi professionnel et sécurisé ;
  • Des outils protégés : votre PC bien sûr, mais également les smartphones, tablettes qui sont autant de points d’entrée dans votre réseau ;
  • Des données protégées de la divulgation par des méthode de cryptage et de destruction distante, mais également des filtres écran empêchant la lecture par votre voisin de train.

Vous avez respecté ces principes, les données personnelles qui vous ont été confiées sont désormais bien protégées. Vous devez parfois les communiquer à des sous-traitants ou partenaires. Lors de l’épisode 6, nous analyserons la protection des données dans vos relations avec ces derniers.

Auteur : François Gervais, Vert & Bleu Conseil

Ce sujet vous intéresse ? Inscrivez-vous à notre liste de diffusion RGPD, et réservez dès à présent votre matinée du 23 mai prochain ! Plus d’infos très bientôt…

    Partager sur