RGPD : Sécurité et gestion des failles
Avec l’expansion des nouvelles technologies utilisées pour le traitement de données personnelles, le RGPD veille à ce que les droits et libertés des personnes soient protégés efficacement. Une intrusion, un piratage ou une mauvaise utilisation de ces données met en péril la sécurité des systèmes d’information. C’est pourquoi, en cas d’urgence, le RGPD prévoit des obligations ayant pour effet de limiter les conséquences de ces intrusions.
L’obligation de notification des violations des données
Le nouveau règlement européen va apporter un renforcement du système d’information en cas de violation des règles établies en matière de données personnelles. De ce fait, l’obligation de notification de toute utilisation frauduleuse va inclure deux opérations.
La première consiste à prévenir l’autorité de contrôle ad hoc. La seconde requiert la communication directe aux personnes concernées du préjudice dont elles sont victimes. Concrètement, en cas de piratage de ses données, un établissement, qu’il soit public ou privé, devra alerter immédiatement la CNIL. Il disposera d’un délai maximal de 72 heures.
En outre, en vertu de l’article 34 du RGPD, le responsable du traitement des données devra informer la personne directement visée de cette violation, sauf si le donneur d’ordre a pris toutes les mesures nécessaires en vue de préserver la sécurité de cette personnes en faisant en sorte, notamment, de rendre « incompréhensibles [les données] pour toute personne qui n’est pas autorisée à y avoir accès ».
La prévention des infractions en matière de données personnelles
Afin de prévenir en amont tout risque de violation de la sécurité des systèmes d’information, des moyens sont légalement prévus.
Des contrats et mentions obligatoires vont indiquer au client les modalités de durée de conservation et purge des données personnelles. De plus, la constitution de registres va permettre d’informer la CNIL des moyens sécuritaires prévus par l’organisme pour protéger les données. Sans la constitution d’un tel registre, l’établissement s’exposera à des sanctions administratives.
En vue de responsabiliser davantage les organismes, une analyse d’impact devra comporter une étude des différentes menaces pesant sur la sécurité des données. À ce titre, elle précisera les mesures prises en cas d’accès non consenti ou de modification non désirée de ces données. Tous les acteurs du traitement des données se doivent de respecter ces mesures, qu’il s’agisse des responsables de traitement, des sous-traitants ou des DSI.
Du reste, en matière de sécurité et gestion des failles informatiques, le chiffrement, qui est un procédé d’encodage refusant à des tiers l’accès aux données, est un outil utile pour la protection des données personnelles.
Enfin, la CNIL recommande l’utilisation d’un mot de passe complexe, long et renouvelé afin de sécuriser l’authentification et empêcher toute violation de données personnelles.
Votre numéro de téléphone est uniquement utilisé pour nous permettre de vous rappeler. Pour en savoir plus sur la gestion de vos données dans le cadre de la gestion du suivi de notre relation précontractuelle et contractuelle, ainsi que sur vos droits, vous pouvez consulter notre politique de confidentialité.
Notre service client est à votre écoute via notre formulaire ou par téléphone :
