Accueil>Newsletter>Actu RGPD – décembre 2021

L’ACTU RGPD

Sécurité des données : bonnes pratiques pour le RGPD

Suite à notre newsletter de novembre « Actu RGPD – Que faire en cas de violation des données ? », il convient désormais de vous partager quelques exemples de bonnes pratiques préconisées par le RGPD.

  1. Sécuriser les données à la source de la collecte

Dès la collecte, les données doivent être sécurisées. Il est nécessaire d’intégrer sécurité et protection des données dès la phase de conception d’un projet afin d’offrir aux personnes concernées une meilleure maîtrise de leurs données et de limiter les erreurs, pertes, modification non autorisée, etc.

  1. Sécuriser le stockage pour garantir l’intégrité et la confidentialité des données

Les risques d’intrusion dans les systèmes informatiques sont importants et les postes de travail constituent un des principaux points d’entrée. Pensez à sécuriser vos logiciels, vos postes de travail et vos mails par des techniques de sécurité appropriées (comme le chiffrement pour vos messages ou des anti-virus par exemple) afin de garantir l’intégrité et la confidentialité des données.

Interdiction de stocker ses mots de passe dans un fichier en clair, sur un papier ou dans un lieu facilement accessible par d’autres personnes.

  1. Optimiser la sauvegarde afin de pouvoir restaurer rapidement les données en cas de perte ou de destruction non désirée

Des copies de sauvegarde doivent être réalisées régulièrement et un plan de continuité ou de reprise d’activité anticipant les éventuels incidents (ex : panne matérielle) doit être préparé.

Interdiction de conserver les sauvegardes au même endroit que les machines hébergeant les données. Un sinistre majeur intervenant à cet endroit aurait comme conséquence une perte définitive des données.

  1. Sécuriser l’accès aux données afin d’identifier tout utilisateur et vérifier qu’il soit autorisé à y accéder 

Limiter les accès aux seules données dont un utilisateur a besoin qui sont nécessaires à l’accomplissement de ses missions.

Interdiction de créer ou utiliser des comptes partagés par plusieurs personnes ; donner des droits d’administrateurs à des utilisateurs n’en ayant pas besoin ; oublier de supprimer / retirer les comptes utilisateurs des personnes ayant quitté l’organisation ou ayant changé de fonction.

Il faut savoir que la CNIL est consciente que vous ne pouvez pas tout connaître sur les failles du système. En revanche, il vous revient de pouvoir prouver à la CNIL que vous avez tenu compte de ses préconisations et de toutes celles que vous connaissez.