Guide de la sécurité des données personnelles

Date de début
Catégorie d'actualité
Règlementation
Body

 

A compter du 25 mai 2018, garantir la sécurité des données personnelles sera rendu obligatoire par le règlement européen sur la protection des données personnelles (dit « RGPD ». Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

 

Sous peine de sanctions qui vont être alourdies, les entreprises doivent, par des mesures concrètes, assurer la sécurité des données personnelles. La CNIL demande aux entreprises d'imposer une charte informatique à leurs salariés et de leur faire signer un engagement de confidentialité : www.cnil.fr

 

Rédiger une charte informatique

 

Informations à donner aux salariés

La charte informatique a la même valeur que le règlement intérieur si elle est adoptée en respectant les formalités et les règles de fond applicables au règlement intérieur. Si elle est insérée au règlement intérieur, cela implique que celui-ci soit modifié suivant les prescriptions du code du travail. Selon la CNIL, cette charte devrait, au moins, comporter les informations suivantes : le rappel des règles de protection des données et les sanctions encourues en cas de non-respect ; les modalités d’intervention des équipes chargées de la gestion des ressources informatiques dans l’entreprise ; les moyens d’authentification utilisés par l’entreprise ; les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition (poste de travail, équipements nomades, espaces de stockage individuel, réseaux locaux, Internet, messagerie électronique et téléphonie) ; les conditions d’utilisation des dispositifs personnels ; les conditions d’administration du système d’information, et l’existence, le cas échéant, de systèmes automatiques de filtrage, systèmes automatiques de traçabilité et gestion du poste de travail ; les sanctions encourues en cas de non-respect de la charte.

 

Obligations et interdictions à imposer aux salariés

La charte doit préciser les obligations imposées aux salariés au titre de la protection des données personnelles : Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement ; verrouiller son ordinateur dès que l’on quitte son poste de travail ; respecter certaines procédures afin d’encadrer certaines opérations (par exemple, la copie de données sur des supports amovibles). La charte listera également les interdictions faites aux salariés : l'interdiction de confier ses identifiant et mot de passe à un tiers, copier, installer, modifier ou détruire des logiciels sans autorisation ; supprimer des informations si cela ne relève pas des tâches incombant au salarié.

 

Prévoir une clause de confidentialité dans les contrats de travail

Les entreprises devront faire signer aux salariés un engagement de confidentialité lorsqu’ils sont amenés à manipuler des données personnelles ou insérer dans le contrat de travail une clause de confidentialité visant les données à caractère personnel.

 

Insérer une clause de sécurité dans les contrats de maintenance

Les opérations de maintenance doivent être encadrées pour maîtriser l’accès aux données par les prestataires, elles doivent être enregistrées dans une main courante et une procédure de suppression sécurisée des données doit être mise en place. La CNIL engage les entreprises à prévoir une clause de sécurité dans leurs contrats de maintenance.

 

Gérer la sous-traitance

 

Garanties à exiger

Les données communiquées à (ou gérées par) des sous-traitants doivent bénéficier de garanties suffisantes.

La CNIL insiste auprès des entreprises pour qu’elles ne fassent appel qu’à des sous-traitants présentant des garanties suffisantes et qu’elles exigent du sous-traitant la communication de sa politique de sécurité des systèmes d’information.

De plus, les entreprises doivent prendre et documenter les moyens (audits de sécurité, visite des installations, etc.) permettant d’assurer l’effectivité des garanties offertes par le sous-traitant en matière de protection des données. Ces garanties incluent notamment : le chiffrement des données selon leur sensibilité ou à défaut l’existence de procédures garantissant que la société de prestation n’a pas accès aux données qui lui sont confiées ; le chiffrement des transmissions de données ; des garanties en matière de protection du réseau, de traçabilité (journaux, audits), de gestion des habilitations, d’authentification, etc.

 

Clauses contractuelles

Le contrat définit l’objet, la durée, la finalité du traitement et les obligations des parties. Les entreprises doivent s’assurer qu’il prévoit en particulier la confidentialité des données personnelles confiées ; des contraintes minimales en matière d’authentification des utilisateurs ; les conditions de restitution et/ou de destruction des données en fin du contrat ; les règles de gestion et de notification des incidents. Il est important de prévoir une information du responsable de traitement en cas de découverte de faille de sécurité dans les plus brefs délais lorsqu’il s’agit d’une violation de données à caractère personnel.

 

Services de cloud

 

Pour finir, la CNIL met en garde les entreprises. Elles ne doivent pas avoir recours à des services de cloud sans avoir des garanties quant à la localisation géographique effective des données et sans s’assurer des conditions légales et des éventuelles formalités auprès de la CNIL pour les transferts de données en dehors de l’Union européenne.

 

 

 

Retour à la liste