Le Règlement Général sur la Protection des Données Personnelles (RGPD) est entré en vigueur en mai 2018. Si beaucoup d’entreprises ont procédé à leur mise en conformité, certaines peinent à mettre en pratique des éléments semblant parfois peu concrets dans le quotidien.
Mais alors, quelles sont les actions à mettre en place ?
Étape 1 : savoir repérer la manipulation et le traitement des données dans votre quotidien
La première étape est essentielle et souvent réalisée trop rapidement par les entreprises : le recensement de toutes les étapes d’utilisation ou de transmission
de données à caractère personnel. Concrètement, cette étape consiste à lister les lieux, les outils et les personnes visés par la mise en conformité.
Étape 2 : la sensibilisation interne et externe
Une fois le recensement terminé, vous devez rédiger et diffuser une charte informatique de protection des données personnelles. Cette charte doit être
entendue, comprise, affichée et surtout appliquée avec un caractère contraignant (la signature d’un engagement de confidentialité par les personnes
manipulant directement des données sensibles est fortement recommandée).
Étape 3 : la gestion des authentifications et accès
Chaque utilisateur doit avoir un identifiant et un mot de passe à la fois unique, mais répondant également à la recommandation de la CNIL (un mot de
passe composé d’au minimum 3 types de caractères sur les 4 proposés (majuscule, minuscule, caractère spécial, chiffre), et comportant un minimum
de 12 caractères). Ce mot de passe doit être renouvelé régulièrement avec un caractère contraignant.
Côté site Internet, vous devez sécuriser les différents formulaires de contact via l’utilisation de captcha.
Étape 4 : les accès directs aux données personnelles
Il est essentiel ici de limiter drastiquement le nombre d’utilisateurs ayant accès aux données personnelles et à leur gestion. Vous devez limiter ce
nombre et surtout repasser à minima une fois par an sur la liste des personnes ayant accès pour en vérifier la légitimité.
Étape 5 : la mise en place d’une historisation et d’un tracking pour le traitement des données personnelles
Que doit-on traquer et historiser ?
Cette étape concerne le suivi des modifications apportées aux données personnelles. Toute intervention sur lesdites données doit conduire à une écriture
dans un registre sécurisé et géré par un responsable de traitement. Faites-vous accompagner par une agence spécialisée RGPD pour cette étape si
vous ne disposez pas des ressources en interne. Vous devez donc :
UN suivi identifié et clarifié
•Nommer un responsable de traitement des données personnelles et le sensibiliser aux enjeux du RGPD ;
•Enregistrer via des logs chaque accès par des utilisateurs. Concrètement, vous devez pouvoir fournir : l’identifiant de l’utilisateur, la date et
l’heure de la connexion, la date et l’heure de la déconnexion et les actions effectuées ainsi que les données visualisées ;
•Vérifier à un rythme défini les enregistrements ;
•Le responsable de traitement assurera l’alerte en cas de détection d’une utilisation anormale de l’accès aux informations.
Mise en garde sur l’utilisation du tracking
Attention, ce registre ne doit en aucun cas représenter un outil de suivi du travail de vos collaborateurs, mais uniquement prévenir d’une mauvaise
utilisation des données sensibles.
Étape 6 : qu’en est-il de votre site web ?
Si beaucoup de sites ont été mis à jour avec l’ajout d’une popin avertissant de l’utilisation de cookies, bien peu sont réellement en règle avec le
RGPD. En effet, plusieurs choses sont souvent effectuées à moitié.
Solution de recueil de consentement.
Premièrement, la gestion des cookies doit être administrable pour chaque cookie pris individuellement. De plus, le cookie déposé par Google Analytics
(GA) doit également faire partie de la demande de consentement. Malheureusement, les entreprises souhaitent souvent conserver les statistiques
de trafic de leur site. En effet, il est obligatoire d’inclure GA dans le dispositif afin d’être totalement conforme aux recommandations.
Une politique de protection des données personnelles accessible
Deuxièmement, une politique de protection des données personnelles doit être rendue publique sur le site. Toutefois, il convient de ne pas la confondre
avec des mentions légales ou autres informations présentes sur le site web.
La limitation des ports de communication
Au-delà d’une sécurisation via le protocole HTTPS, les sites web doivent également limiter les ports de communication au strict essentiel (le port
443 sera choisi pour un accès HTTPS comme port unique de communication par exemple).
Une administration restreinte et contrôlée
Pour poursuivre, l’administration du site web doit être limitée à un nombre restreint de collaborateurs, et les accès individualisés, tout autant
que les droits pour chacun d’entre eux.
Une maintenance applicative mensualisée
Enfin, votre site web doit être entretenu et maintenu mensuellement via une Tierce Maintenance Applicative afin de limiter les failles de sécurité
et donc l’accès malveillant à des données sensibles.
Étape 7 : administrer la maintenance et la destruction des données
Premièrement, votre protocole de traitement des données personnelles doit contenir toute votre procédure permettant in fine de prouver que lors
d’une destruction de données, celles-ci sont bel et bien détruites. Deuxièmement, un registre répertorie l’accord de la personne concernant
ladite modification… Ainsi, le responsable RGPD précédemment nommé sera le garant de l’existence d’une telle procédure et de son application
concrète au quotidien.
Étape 8 : prévoir un plan de continuité interne et externe
Dans le cas du traitement de données personnelles sensibles, une entreprise doit réfléchir, organiser puis rédiger un plan de continuité à la fois
interne mais également externe. Cette procédure permet d’expliquer et d’organiser un plan de sauvegarde et surtout de récupération des données
en cas de défaillances (internes ou malveillantes).
Ce plan indique notamment : la personne à prévenir lors de la venue d’une problématique et la procédure à enclencher. Il indiquera également la
procédure de reprise de l’activité de façon temporaire puis sécurisée, des délais associés et de la récupération in fine des données sans aucune
perte.
Étape 9 : organiser une transmission et des échanges de données sécurisés
Malgré toute cette vigilance et dans certains cas, certaines données sensibles sont transférées à une tierce entité et donc nécessitent une procédure
adaptée. Ainsi, au-delà de la nécessité de vérifier auprès de cette entité autre sa conformité RGPD, il est nécessaire de procéder à un envoi
de données chiffrées au préalable avec des fonctions cryptographiques).
Ces données sont ensuite protégées par un mot de passe ou une clé communiqué(e) par un autre canal que celui de la base de données. Nous prenons
par exemple le cas d’une base d’envoi d’emails. Le fichier CSV est donc protégé par un mot de passe envoyé par SMS. Le fichier lui-même transite
par mail.
Étape 10 : le futur se prépare avec un regard neuf
Pour conclure, nous insistons sur la nécessité de prévoir en amont de vos futurs projets toutes ces étapes de conformité RGPD. Chaque projet doit
ainsi prévoir et prévenir le traitement des données personnelles sensibles. Vous l’aurez donc compris, la conformité RGPD se prépare, se met
en pratique et se pense à chaque instant.
Nous rappelons enfin que toutes les entreprises sont concernées par ce règlement.
