Sécurité : Piloter la sécurité des données
Mettre en place et maintenir dans la durée la protection des données personnelles exigée par le RGPD et les cadres sectoriels.
L’intégration de la protection des données personnelles dans les processus de décision de l’organisme permet d’en assurer la prise en compte dans la durée et aux moments clés d’arbitrages des budgets et des projets.
Les précautions élémentaires
Impliquer la direction
et formaliser des objectifs généraux en matière de sécurité et de protection des données personnelles, validés par la direction de l’organisme.
Recenser (à travers le registre) les traitements de données personnelles,
automatisés ou non, les données traitées (ex. : fichiers clients, contrats) et les supports sur lesquels ces traitements reposent :
- les matériels (ex. : serveurs, ordinateurs portables, disques durs) ;
- les logiciels (ex. : systèmes d’exploitation, logiciels métier) ;
- les ressources d’informatique en nuage (cloud) utilisés (ex. : SaaS, PaaS, IaaS) ;
- les canaux de communication logiques ou physiques (ex. : connexions filaires, Wi-Fi, Internet, échanges verbaux, coursiers) ;
- les supports papier (ex. : documents imprimés, photocopies) ;
- les locaux et installations physiques où se situent les éléments précédemment cités (ex. : locaux informatiques, bureaux).
Formaliser des schémas d’interconnexions et de flux de données
entre les différents composants des systèmes d’information. Le registre et les schémas doivent être mis à jour lors de chaque modification structurelle des traitements ou des composants des systèmes d’information.
Définir un plan d’action relatif à la sécurité informatique
et mettre en œuvre les mesures techniques et organisationnelles définies pour assurer la protection des données. Pour ce faire, deux approches complémentaires peuvent être mises en œuvre : d'une part, mettre en place les précautions élémentaires listées dans le présent guide (voir la check-list d’évaluation) et, d'autre part, compléter par des mesures spécifiques identifiées à l’aide d’analyses de risques (voir la fiche n°20 - Analyse de risques). Toute nouvelle mesure décidée doit intégrer le plan d’action dont l’avancement est suivi régulièrement.
Contrôler périodiquement l’effectivité des mesures techniques et organisationnelles
pour s’assurer qu’elles remplissent bien l’objectif poursuivi (ex. : par la mise en place d’indicateurs). Vérifier en priorité les mesures mises en œuvre pour corriger des vulnérabilités identifiées ou pour prévenir des incidents qui se sont déjà produits.
Assurer un suivi avec la direction
en termes de gestion de risques informatiques à travers une revue de direction au moins annuelle. Elle doit permettre d’établir une synthèse et de prendre des décisions considérant :
- l’évolution du contexte, des enjeux et des attentes des parties prenantes (ex. : clients, partenaires, autorités de contrôle) ;
- le changement des objectifs et missions de l’organisme ; - l’évolution de la menace numérique ;
- l’essor de nouvelles technologies ou solutions de sécurité ;
- les évolutions des systèmes d’information et des traitements de données ;
- l’évolution des risques sur la sécurité des données et la vie privée ;
- l’avancement du plan d’action juridique (ex. : mise en conformité des contrats) et technique (mesures de sécurité) ;
- les incidents et violations rencontrés, avec leur impact sur l’organisme et les personnes concernées ;
- les demandes et plaintes reçues et traitées concernant les données personnelles.
Améliorer la protection des données personnelles dans le temps
La revue de direction doit notamment permettre de décider de l’allocation des moyens humains et budgétaires nécessaires aux mesures à mettre en place et à l’amélioration continue de la sécurité.
Ce qu'il ne faut pas faire
- Considérer la sécurité comme un problème accessoire pouvant être pris en compte a posteriori, une fois les traitements de données déjà opérationnels.
- Se concentrer sur des mesures avancées sans avoir mis en place les précautions élémentaires.
- Se limiter à des actions ponctuelles et ne pas considérer le traitement de données dans son ensemble (ex. : collecte, partenaires, fin de vie des données) pour décider des mesures de sécurité à mettre en place.
- Se reposer uniquement sur des mesures techniques sans les accompagner de mesures organisationnelles en cohérence.
- Définir un plan d'action sans attribuer d'échéance et de responsable de mise en œuvre à chaque action.
- Déléguer la gestion de toute la sécurité informatique à un fournisseur.
Pour aller plus loin
Afin d’assurer le suivi de la sécurité et de la protection des données au quotidien, il est très utile (voire obligatoire selon la nature de l’organisme) de nommer une personne responsable de la sécurité des systèmes d’information (RSSI) et un délégué à la protection des données (DPD).
Ils doivent :
- avoir la capacité de rapporter directement au niveau le plus élevé de la direction ;
- disposer des ressources nécessaires et des conditions de travail pour exercer leurs missions ;
- être impliqués (eux-mêmes ou leur équipe) systématiquement et en amont dans les réflexions sur les questions relatives à leur champ de compétences afin d’assurer une sécurité des systèmes d’information et la protection des données personnelles dès la conception et par défaut.
Les objectifs généraux en matière de protection des données personnelles peuvent être consignés dans une politique générale de protection des données, portée par la direction et diffusée à l’ensemble des acteurs (personnels, sous-traitants, partenaires). Cette politique peut ensuite être précisée à un niveau opérationnel en politiques thématiques et procédures détaillées pour décliner au contexte d’activité de l’organisme les mesures de protection des données personnelles.
Les audits de sécurité sont un moyen essentiel pour évaluer le niveau de sécurité des systèmes sur lesquels reposent le(s) traitement(s) de données personnelles. Réalisés de façon périodique, ils permettent de prendre en compte les évolutions du traitement et des menaces. Chaque audit doit donner lieu à un plan d’action dont la mise en œuvre devrait être suivie au plus haut niveau de l’organisme.
Afin de structurer la gouvernance dans la durée, il est possible de mettre en place un système de management reposant sur une démarche d’amélioration continue. La norme internationale ISO/IEC 27701 décrit les processus et les mesures organisationnelles et techniques permettant de mettre en place un système de management de la protection de la vie privée (PIMS, en anglais), en s’appuyant sur le système de management de la sécurité de l’information (SMSI) porté par la norme ISO/IEC 27001.
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié son propre guide des bonnes pratiques en termes de sécurité informatique.