Alors que le texte de loi a été définitivement adopté à l’assemblée le 13 février et que la date de l’application des nouvelles règles approche (25 mai 2018), la CNIL propose un guide détaillé en 17 fiches à l’attention des entreprises et établissements concernés. Un outil bienvenu au moment où certains professionnels redoutent un peu la lourdeur de la mise en place des nouvelles dispositions légales et n’ont pas forcément envie de lire les 55.000 mots du texte de loi !
L’enjeu final : « Garantir un niveau de sécurité adapté au risque»
C’est ce que spécifie l’article 32 de la nouvelle loi. Des «mesures techniques et organisationnelles appropriées» doivent être mises en places, gérées et évaluées. Pas insurmontable, cette évolution de la structure nécessite néanmoins du temps et de l’attention, ainsi que des compétences spécifiques.
En amont, il s’agit déjà de faire le point sur l’existant : quelles données personnelles sont recueillies dans l’établissement, dans quel(s) but(s), où sont-elles stockées, pendant combien de temps, qui y accès, les personnes concernées sont-elles informées ?… autant de questions qu’on ne s’est peut-être jamais vraiment posées jusqu’à maintenant, mais qui vont entrer dans un cadre légal très strict dès le 28 mai. La question centrale étant celle de la sécurité, l’un des enjeux majeurs consiste à évaluer les risques au plus juste.
Des fiches réparties en 4 grandes catégories
Le recensement des traitements, l’appréciation des risques, la mise en œuvre et la vérification des mesures prévues, la réalisation d’audits de sécurité périodiques. Des questionnaires, des tableaux et des check-lists sont notamment fournis pour commencer rapidement à faire le tour de la question. Il y a même un quizz pour savoir où en est votre entreprise aujourd’hui et si elle est prête… ou pas !
La simple lecture de l’intitulé des 17 fiches donne déjà une idée de la structuration de la tâche qui vous attend.
17 fiches pratiques sur la sécurité des données personnelles
• Sensibiliser les utilisateurs
• Authentifier les utilisateurs
• Gérer les habilitations
• Tracer les accès et gérer les incidents
• Sécuriser les postes de travail
• Sécuriser l’informatique mobile
• Protéger le réseau informatique interne
• Sécuriser les serveurs
• Sécuriser les sites web
• Sauvegarder et prévoir la continuité d’activité
• Archiver de manière sécurisée
• Encadrer la maintenance et la destruction des données
• Gérer la sous-traitance
• Sécuriser les échanges avec d’autres organismes
• Protéger les locaux
• Encadrer les développements informatiques
• Chiffrer, garantir l’intégrité ou signer
Approfondir
> Le guide de la sécurité des données personnelles