L’entrée en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018 a contraint les organismes publics et privés à intégrer la problématique de la protection des données à caractère personnel au cœur de leur politique de management du risque.
Les articles 32 à 34 du RGPD définissent les obligations des organismes en matière de sécurité des données personnelles, informatiques ou sur tout autre support : elles visent à la fois les responsables de traitement et les sous-traitants. L’article 32 est consacré aux mesures de sécurité, à l’évaluation du niveau de sécurité et à l’évaluation des risques, tandis que les articles 33 et 34 définissent les obligations, notamment résultant de cas de violation de données personnelles. Pour mémoire, celle-ci est caractérisée dès lors qu’il y a rupture de la disponibilité ou de l’accessibilité, de l’intégrité, ou de la confidentialité d’une donnée à caractère personnel.
Si le texte s’appuie sur certaines mesures concrètes comme le chiffrement ou la pseudonymisation, il impose également des mesures plus globales comme la mise en œuvre de « moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » ou encore des « moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ».
Ces mesures ne sont pas exhaustives : il est primordial d’assurer un niveau de sécurité logique et physique conforme à l’état de l’art tant les technologies (hardware et software). Pour ce faire, le responsable de traitement et le sous-traitant doivent littéralement tenir compte « de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques ».
Ces risques devront donc être analysés, au regard de leur impact, mais aussi leur vraisemblance : la réduction des risques, ou « risque net » consistera en la diminution de l’une ou l’autre de ces caractéristiques et sera d’autant plus significative lorsque les mesures et garanties mises en œuvre limiteront à la fois la gravité, et la probabilité de ces derniers. L’intégration de ce programme de gestion des risques entre ainsi pleinement dans les mesures de sécurité, notamment organisationnelle.
Les mesures de sécurité technique :
Afin d’assurer un niveau de sécurité conforme à l’état de l’art, sur le plan technique, le responsable de traitement et le sous-traitant doivent assurer une veille technologique et juridique, relevant davantage des mesures organisationnelles. Pour ce faire, ils peuvent s’appuyer sur les préconisations et guides de la CNIL, de l’ANSSI, mais aussi de l’Agence de l’Union Européenne pour la cybersécurité (ENISA).
Dans son guide de l’hygiène informatique, l’ANSSI détaille ainsi 42 mesures de sécurité réparties en dix thèmes :
· Sensibiliser et former
o Former les équipes opérationnelles à la sécurité des systèmes d’information
o Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique
o Maîtriser les risques de l’infogérance
· Connaître le système d’information
o Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau
o Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour
o Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs
o Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés
· Authentifier et contrôler les accès
o Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur
o Attribuer les bons droits sur les ressources sensibles du système d’information
o Définir et vérifier des règles de choix et de dimensionnement des mots de passe
o Protéger les mots de passe stockés sur les systèmes
o Changer les éléments d’authentification par défaut sur les équipements et services
o Privilégier lorsque c’est possible une authentification forte
· Sécuriser les postes
o Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique
o Se protéger des menaces relatives à l’utilisation de supports amovibles
o Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité
o Activer et configurer le pare-feu local des postes de travail
o Chiffrer les données sensibles transmises par voie Internet
· Sécuriser le réseau
o Segmenter le réseau et mettre en place un cloisonnement entre ces zones
o S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages
o Utiliser des protocoles réseaux sécurisés dès qu’ils existent
o Mettre en place une passerelle d’accès sécurisé à Internet
o Cloisonner les services visibles depuis Internet du reste du système d’information
o Protéger sa messagerie professionnelle
o Sécuriser les interconnexions réseau dédiées avec les partenaires
o Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques
· Sécuriser l’administration
o Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information
o Utiliser un réseau dédié et cloisonné pour l’administration du système d’information
o Limiter au strict besoin opérationnel les droits d’administration sur les postes de travail
· Gérer le nomadisme
o Prendre des mesures de sécurisation physique des terminaux nomades
o Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable
o Sécuriser la connexion réseau des postes utilisés en situation de nomadisme
o Adopter des politiques de sécurité dédiées aux terminaux mobiles
· Maintenir le système d’information à jour
o Définir une politique de mise à jour des composants du système d’information
o Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles
· Superviser, auditer, réagir
o Activer et configurer les journaux des composants les plus importants
o Définir et appliquer une politique de sauvegarde des composants critiques
o Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées
o Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel
o Définir une procédure de gestion des incidents de sécurité
· Pour aller plus loin
o Mener une analyse de risques formelle
o Privilégier l’usage de produits et de services qualifiés par l’ANSSI
Ces mesures élémentaires d’hygiène informatique sont à la fois logicielles et matérielles, logiques et physiques. En effet, les mesures de restriction d’accès aux locaux et aux équipements aux seules personnes habilitées sont indispensables, indépendamment des autres mesures.
Les mesures organisationnelles
L’existence et l’effectivité des procédures suivantes sont donc essentielles :
· Plan de continuité d’activité (PCA) : il décrit les moyens d’assurer la continuité de l’activité de l’organisme en situation dégradée, par exemple à la suite d’une cyberattaque, d’une violation de données, d’indisponibilité des données ou des outils nécessaires au fonctionnement de l’organisme,
· Plan de reprise d’activité (PRA) : il décrit la procédure de retour à la normale.
· Politique de Sécurité des Systèmes d’Information (PSSI) : elle reflète la vision stratégique de l’organisme en matière de sécurité des systèmes d’information (voir guide de l’ANSSI).
· Politique de sauvegarde et de restauration.
Les données et archives papier doivent aussi être protégées au moyen de mesures équivalentes : armoires et tiroirs fermés à clés, badges d’accès aux locaux, journalisation des accès aux archives… Ces recommandations sont d’autant plus importantes lorsque différents personnels externalisés (entretien, sécurité…) ont accès aux locaux en dehors des horaires de présence du personnel de l’organisme responsable de traitement ou sous-traitant.
Selon le niveau de sensibilité des données à protéger, aussi bien en matière de données à caractère personnel visées à l’article 32 du RGPD qu’en matière de données professionnelles, industrielles ou commerciales, le recours à des systèmes d’alarme ou de vidéosurveillance sont à envisager, dans le respect des règles encadrant leur mise en œuvre.
Il est également important de rappeler les principes de minimisation de la collecte de données et de limitation des durées de conservation : le meilleur moyen de protéger une donnée à caractère personnel reste de ne pas la collecter si elle n’est pas strictement nécessaire à la finalité poursuivie, et de ne pas la conserver en base active une fois que les finalités pour lesquelles elle a été collectée sont atteintes. Il conviendra alors de procéder à son archivage ou à sa destruction selon les cas et les obligations légales afférentes.
Plus spécifique aux articles 33 et 34 du RGPD, la gestion des violations de données doit faire partie des mesures organisationnelles liées à la sécurité des données et relève, plus globalement, de la procédure de gestion des incidents de sécurité qui doit être écrite, diffusée, appliquée et contrôlée.
Le personnel du responsable de traitement et des sous-traitants doit être sensibilisé et formé, et un registre des incidents de sécurité et violation de données doit être tenu à jour avec remontée des événements au DPO, afin qu’il puisse lorsque c’est nécessaire, notifier les autorités compétentes (CNIL, ANSSI…) en équipe avec le RSSI, dans les délais réglementaires, et le cas échéant, les personnes concernées.
À propos de sous-traitance, comme le précise l’article 28 du RGPD, un contrat ou acte juridique entre le responsable de traitement et le sous-traitant doit être établi pour préciser les droits et obligations de chacun, et notamment en ce qui concerne les notifications des violations de données à caractère personnel. Les lignes directrices 09/2022 du CEPD (PDF) insistent quant à elles sur la nécessité de notification rapide des violations par les sous-traitants aux responsables de traitement, afin qu’ils puissent notifier l’autorité de contrôle dans les 72 heures.
L’audit du responsable de traitement et l’audit du sous-traitant par ce dernier, doivent être prévus par des procédures internes et contractualisés entre les parties tant ils permettent d’assurer le caractère effectif et donc, la mise en œuvre réelle de l’ensemble des mesures de sécurité logique, physique et organisationnelle.
La CNIL rappelle en outre différentes obligations du responsable de traitement et du sous-traitant et notamment celle d’assurer la sécurité des données dans son guide du sous-traitant publié en septembre 2017.
Preuve par la norme, code de conduite et certification
Afin de démontrer leur conformité à la réglementation et le respect des mesures de sécurité à l’état de l’art, les organismes peuvent s’appuyer sur différentes normes et tout particulièrement :
· ISO 27001 / IEC 27001
· ISO 27002 / IEC 27002
· ISO 27701 / IEC 27701
Si le paradigme normatif n’est pas toujours adapté aux plus petites entreprises ou aux petits organismes, ces normes sont une ressource précieuse pour certaines PME, ETI, entités publiques ou entreprises internationales. Elles constituent un bon moyen de démontrer son « accountability » lorsqu’il s’agit de répondre à une obligation de conformité liée à un appel d’offres, ou d’accéder à des marchés occasionnant la sous-traitance de données à caractère personnel pour le compte de grands groupes, d’organismes publics ou de collectivités, qui imposent à leurs prestataires d’être conformes au RGPD.
L’ISO 27001 est « la norme la plus connue au monde en matière de systèmes de management de la sécurité de l’information (SMSI) ». Elle définit les exigences auxquelles un SMSI doit répondre. Un SMSI mis en œuvre conformément à cette norme est « un outil à l’appui de la gestion des risques, de la cyber-résilience et de l’excellence opérationnelle ».
L’ISO 27002 concerne la sécurité de l’information, la cybersécurité et intègre également la protection de la vie privée. Cet ensemble de référence est conçu pour être utilisé par les organisations dans le contexte d’un SMSI répondant à la norme ISO 27001, afin de mettre en œuvre des mesures de sécurité de l’information basées sur les bonnes pratiques reconnues au niveau international.
La norme ISO 27701 / IEC 27701 prend la forme d’une extension des deux normes précédentes pour la création, la mise en œuvre, le maintien et l’amélioration continue d’un système de management de la protection de la vie privée (PIMS) dans le contexte de l’organisation. Elle s’adresse à des entités de toutes tailles, qui traitent des données à caractère personnel, en tant que responsables de traitement ou sous-traitants au moyen d’un SMSI. La CNIL confirme quant à elle, la proximité de cette norme avec le RGPD dans un article publié en 2020 sur son site internet.
Enfin, l’application d’un code de conduite approuvé comme prévu à l’article 40 du RGPD ou d’un mécanisme de certification approuvé comme prévu à l’article 42 peuvent servir d’éléments pour démontrer le respect des exigences prévues au paragraphe 1 de l’article 32, selon le texte.
En pratique, le seul code de conduite approuvé par la CNIL est dédié aux fournisseurs de services d’infrastructure cloud (IaaS) (PDF). Le seul mécanisme de certification existant concerne quant à lui les prestataires de formation à la protection des données à caractère personnel.
Nos derniers articles
-
RGPD et IA : quels enjeux ?
Depuis l'avènement de l'Intelligence Artificielle (IA), les entreprises et les organisations ont adopté cette technologie à un rythme effréné dans le but d’améliorer leurs opérations, d’innover et d’offrir des services plus personnalisés. Entre défiance technologique et naïveté enthousiaste, quels …
-
Le RGPD et le droit à l'image en France
Dans son article du 25 janvier 2016 relatif au droit à l’image, la Commission Nationale de l’Informatique et des Libertés (CNIL) nous rappelait le point suivant : « Il faut bien dissocier la protection des données personnelles - champ qui relève du RGPD - du « droit à l’image », qui est en fait le …
-
Le cycle de vie de la donnée
Comme le prévoit le considérant 25 du RGPD, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont …