Comment être aux normes pour le RGDP

RGPD

 

Qu’est-ce que la RGPD

Le But de la RGPD est de protéger les données personnelles des citoyens européens comme leurs noms, âges, adresses IP, historiques de navigation, mails, qui sont très facilement accessibles. Des tierces personnes peuvent donc étudier vos données et les utiliser de façon plus ou moins malveillante. C’est pourquoi le Règlement général pour la protection des données personnelles (RGPD) a été adopté par l’Union européenne. Les acteurs concernés comme les entreprises, les associations… devront non seulement s’assurer de la sécurité du traitement des données personnelles, mais également de pouvoir prouver leur respect à cette mesure. Le RGPD sera appliqué le 25 mai 2018 et les entreprises qui ne seront pas aux normes devront payer une amende jusqu’à 4% de leurs chiffres d’affaires.

Pour vous aider, nous allons vous présenter tous les points pour être eu normes de la règlementions européen.

 

Les 17 points clés pour être aux normes

L'arrivée du RGPD a de quoi donner quelques sueurs froides aux entreprises qui collectent des données. Au final, tout le monde collecte des données, mais certains les exploitent plus et mieux que d'autres. Qu'importe, le règlement européen s'adresse à tout le monde. Si vous êtes encore perdu dans sa mise en place, voici un résumé de 17 actions indispensable à réaliser le plus vite possible.

 

1. Sensibiliser les utilisateurs

Vous devrez sensibiliser vos collaborateurs qui travaillent avec des données à caractère personnel liées aux libertés et à la vie privée, les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement.

 

2. Authentifier les utilisateurs

Les ordinateurs, tablettes… devront avoir un mot de passe et login personnel à chaque collaborateur afin que le personnel non autorise à utiliser des données personnelles ne puisse obtenir ses données.

 

3. Gérer les habilitations

Il faudra également définir les données personnelles qui sont nécessaires pour votre entreprise et les justifier en cas de contrôle de la CNIL. Vous devrez définir pour chaque collaborateur les données des utilisateurs utiles dont ils pourront avoir connaissance et qu’ils pourront exploiter. Pour les personnes qui non pas nécessité d’avoir accès aux données personnelles vous devrez leur bloquer l’accès.

 

4. Tracer les accès et gérer les incidents

Prévoir un système de journalisation afin d’enregistrer les activités des utilisateurs qui utilisent la base donnée, afin de pouvoir identifier un accès frauduleux ou une utilisation abusive de données personnelles, ou de déterminer l’origine d’un incident.

 

5. Sécuriser les postes de travail

Vous devrez mettre en place une procédure de verrouillage automatique de session, des pare-feu et des antivirus à jour.

 

6. Sécuriser l'informatique mobile

Vos appareils portables qui ont accès à de la donnée personnelle devront se prémunir d’un mot de passe et activer le verrouillage automatique de l’écran. Les disques durs, les clés USB… devront être cryptés pour protéger les données en cas de perte ou de vol.

 

7. Protéger le réseau informatique interne

Les accès à distance sur les serveurs devront être protégés par un VPN

 

8. Sécuriser les serveurs

Il faudra que votre serveur soit mis à jour régulièrement et vous devrez adopter une politique spécifique de mots de passe pour les administrateurs. Il sera nécessaire de changer les mots de passe, au moins lors de chaque départ d’un administrateur et en cas de suspicion de compromission.

 

9. Sécuriser les sites web

Mettre en œuvre le Protocol TLS (en remplacement de SSL) sur tous vos sites web. Vous avez aussi l’obligation de mettre un bandeau de consentement au traçage de la navigation par les cookies. Pour continuer de récupérer les données personnelles des utilisateurs de votre site (mail, nom, fonction, historique de navigation…), il faudra créer une page ou sera expliquée en quoi s’est donné sont utile pour vous et ce que vous allez en faire. Tout le monde est concerné du moment où des outils d’analyse de site sont activés.

 

10. Sauvegarder et prévoir la continuité d'activité

Effectuer des sauvegardes régulières de votre base de données tout en la maintenant à jour.

 

11. Archiver de manière sécurisée

Définir un processus de gestion des archives et de destructions des données inutiles ou des personnes qui souhaitent être supprimées de la base.

 

12. Encadrer la maintenance et la destruction des données

Enregistrez les interventions de maintenance dans votre logiciel de journalisation.

 

13. Gérer la sous-traitance

Prévoir un contrat avec les sous-traitants, qui définit notamment l’objet, la durée, la finalité du traitement et les obligations des parties

 

14. Sécuriser les échanges avec d'autres organismes

Il faudra crypter le fichier comportant la base de données ou des données personnelles pour les envoyer via le net et transmettre le mot de passe par un autre canal : sms, appel téléphonique.

 

15. Protéger les locaux

Restreignez les accès aux locaux au moyen de portes verrouillées et installez des alarmes anti-intrusion et vérifiez-les périodiquement.

 

16. Encadrer les développements informatiques

La protection des données à caractère personnel doit être intégrée au développement informatique dès les phases de conception afin d’offrir aux personnes concernées une meilleure maîtrise de leurs données et de limiter les erreurs, pertes, modifications non autorisées, ou mauvais usages de celles-ci dans les applications.

 

17. Utiliser des fonctions cryptographiques

Assurer l’intégrité, la confidentialité et l’authenticité d’une information.

 

Pour en savoir plus sur les 17 points clés pour la mise en conformité de la RGPD et comment mettre en œuvre rapidement cette réglementation dans votre entreprise télécharge notre guide des 38 actions à suivre :

Téléchargement guide sur le RGPD

A propos de l'auteur:Jehan Bouffar Roupé

Jehan Bouffar Roupé

Articles récents