Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Guide Juridique du RGPD (3e édition)
  3. Sécuriser les traitements
Extrait - Guide Juridique du RGPD (3e édition) La réglementation sur la protection des données personnelles
Extraits du livre
Guide Juridique du RGPD (3e édition) La réglementation sur la protection des données personnelles Revenir à la page d'achat du livre

Sécuriser les traitements

Introduction

L’évolution des technologies de l’information (Cloud computing, Big Data, médias sociaux, etc.), la prolifération et la puissance des outils technologiques, le succès d’Internet et la multiplication des acteurs du secteur ont pour conséquence un foisonnement exponentiel des collectes et des traitements de données à caractère personnel. En parallèle, les menaces pesant sur les systèmes et réseaux d’Information sont de plus en plus nombreuses (fraude informatique, captation frauduleuse, perte de données, atteinte à la confidentialité, à la vie privée, etc.) et diverses (internes, externes). Le système d’information est dès lors utilisé comme vecteur de ces menaces qui consistent à viser le fonctionnement de ce dernier et/ou les données qu’il contient.

Soulignons qu’il n’existe pas de définition légale de la sécurité. Toutefois, l’agence nationale de la sécurité des systèmes d’information (ANSSI) définit la sécurité des systèmes d’information comme « l’ensemble des mesures techniques et non techniques de protection permettant à un système d’information de résister à des événements susceptibles de compromettre la disponibilité...

Qui est concerné par l’obligation de sécurité ?

Le RGPD, en introduisant une obligation générale de sécurité qui se traduit par la mise en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, érige la sécurité en pilier de la Compliance. L’objectif est ici de responsabiliser les différents acteurs des traitements de données en uniformisant les obligations pesant sur les entreprises (publiques ou privées). Ces nouvelles exigences sont valables pour les traitements futurs comme pour ceux déjà mis en place.

images/04-page3.png

Tous les acteurs du traitement sont concernés par l’obligation générale de sécurité introduite par le RGPD, du responsable de traitement au sous-traitant qui doit désormais présenter « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (RGPD, art. 28).

Ces mesures visent à empêcher notamment toute diffusion ou accès non autorisé, la destruction accidentelle ou illicite, la perte accidentelle...

Pourquoi mettre en place des mesures de sécurité ?

Comme nous venons de le souligner, la sécurité constitue un élément de conformité incontournable et la plupart des acteurs du traitement devront accroître leur dispositif existant pour se mettre en conformité. Mais outre le volet légal, la sécurité doit aussi être abordée sous le volet économique, avec l’explosion du cyber-risque dont le montant du préjudice est de plus en plus élevé chaque jour. Nous vivons en effet dans une société du tout numérique, du tout connecté, du tout partagé. Mais derrière l’accroissement de la facilité d’accès aux données se cache l’accroissement des failles de sécurité possibles. Imaginez un voleur face à une première maison comprenant une porte d’entrée blindée, et une seule fenêtre protégée par des barreaux de fer, et une seconde maison avec trois portes d’entrée, deux baies vitrées, et une flopée de fenêtres ouvertes. À votre avis, où va-t-il aller ? Le problème est exactement le même en matière de sécurité informatique, et la recette du butin peut être très juteuse. D’après l’IBM Security Cost of a Data Breach Report 2021, les coûts des violations de données sont passés de 3,86 millions...

Que dois-je faire pour sécuriser mon traitement ?

La sécurité du traitement est la contrepartie nécessaire de l’accès et de l’utilisation des données personnelles.

Ainsi, les entreprises responsables du traitement et les sous-traitants doivent s’assurer d’un niveau adapté de sécurité des données en mettant en place des mesures techniques et organisationnelles appropriées « selon les besoins » (RGPD, art. 32, 1).

L’article 32 du Règlement européen renforce cette obligation de sécurité en ces termes :

« 1. « Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L’application d’un code de conduite approuvé comme le prévoit...