Le RGPD impose la sécurité des données

Depuis 18 mois que je me penche sur le Règlement Général de Protection des Données (RGPD, ou GDPR en anglais), j’ai relevé deux éléments qui reviennent systématiquement lors de mes interventions :

  1. Une démarche de conformité RGPD n’est en réalité pas une contrainte, mais un révélateur d’opportunités pour la structure : chasser des coûts cachés, création de valeur, valorisation des actifs… Toutes les structures pour lesquelles je suis intervenu ont tiré un profit (autre que celui de la démarche RGPD).
  2. La mise en conformité RGPD impose aux structures d’appliquer des standards de la protection des données qui devraient déjà être en place depuis fort longtemps : politique de gestion de mots de passe, charte informatique, sauvegardes sécurisées, procédure d’archivage…

Les obligations de sécurité du RGPD

Le RGPD, on le sait, formule une obligation de résultat de la part du Responsable de Traitement, loin du simple déclaratif que l’on pouvait connaitre avec les fameuses « déclarations CNIL ».

Les obligations de sécurité sont décrites dans l’article 32 du RGPD. Contrairement à ce que l’on a pu entendre, le RGPD n’impose pas des mesures de sécurités précises et systématiques, mais une sécurisation adaptée au risque.

Le risque au sens du RGPD

A ce stade, il est indispensable de faire un aparté sur la définition du risque. Le risque dans le contexte du RGPD est à évaluer comme le risque « pour les droits et libertés des personnes physiques ».

Il ne s’agit donc pas du risque pour l’entreprise (perte de chiffre d’affaires, impact sur son image, impact sur ses ressources humaines…) mais du risque centré sur l’individu : préjudice immédiat et long terme lié à la perte ou la divulgation des Données Personnelles :

« Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. ».

A la lecture de cet extrait de l’article 32, il parait évident que le chiffrement systématique des données personnelles en base de données ou encore l’interdiction d’héberger les données en dehors de l’Union Européenne sont le fruit de l’imagination de certains, mais pas des obligations du RGPD.

Au contraire, l’article 32 invite à dimensionner les mesures de sécurité en fonction de ce risque qu’il faudra donc évaluer (en incluant sa probabilité d’occurrence et sa gravité).

Redondance des données

Par contre, le RGPD impose implicitement de mettre en place une redondance des données, soit sous la forme de RAID ou similaire, soit via des sauvegardes régulière : l’alinéa b) précise : « (mise en œuvre) des moyens permettant de garantir (…) l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; ».

C’est une bonne chose, car aujourd’hui encore, trop de TPE-PME sont dépourvues de réplication des données, que ce soit une réplication « à chaud » ou « offline ».

Plan de reprise d’activité

Le RGPD va plus loin dans l’alinéa c), puisqu’il impose d’y associer « des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; ».

Ce plan fait trop souvent défaut. Et pourtant, il peut sauver des entreprises. Un consultant en Système d’Information me rapportait que, quelques semaines après avoir vérifié être en mesure d’exploiter un jeu de sauvegardes automatiques, il a dû le mettre en pratique suite à une infection d’un ransomware. L’entreprise n’a perdu « que » 8 heures d’activité…

Quelles données concernées par le RGPD ?

Même si le règlement européen de protection des données s’applique uniquement aux données à caractère personnel, il bénéficie à toutes les données de l’entreprise : une fois la redondance des données ou le plan de reprise d’activité en place, toutes les données de l’entreprise pourront être protégées.

Confidentialité des données

Là encore, ce qui est imposé par le RGPD a tout son sens pour l’ensemble des données et systèmes de traitements de données, qu’il s’agisse de données à caractère personnel ou non :

L’alinéa 4 précise que « le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement (…) ».

Un des moyens d’y parvenir est de (enfin ?) mettre en place une charte informatique (ou de la mettre à jour), de vérifier sa politique de gestion de mots de passe (y compris dans le parcours de départ d’un collaborateur), et bien sûr de former (sensibiliser) son personnel.

Pour ce qui est du sous-traitant, ses obligations sont couvertes par le contrat de sous-traitance, imposé par l’article 28 du RGPD… mais c’est un autre sujet !

Werner KLINGER,
Ingénieur Conseil RGPD.

 

Tags: ,

2 Commentaires sur “Le RGPD impose la sécurité des données”

  1. @Maxime: concernant le registre des traitements, j’ai une conviction que je n’ai pas encore pu confronter à la réalité terrain faute de travailler sur un dossier assez gros : si la structure est certifiée ISO, elle documente déjà ses processus. Et il devrait suffire de mettre à jour les processus traitant de données personnelles et considérer le registre des traitements comme un index vers ces processus pour remplir ses obligations de documentation.
    Je ne sais pas si je suis clair…
    Concernant les auditeurs certifiés RGPD, à ma connaissance il n’y en a pas encore (du moins pas avant l’été 2018): pour cela, il faut que le cabinet d’audit fasse valider (certifier) son process d’audit… dès que la CNIL aura défini les critères :-)

  2. Maxime dit :

    Merci pour ce bon article, et ce retour terrain intéressant et plein de bon sens.

    Même si la sauvegarde interne (et externalisée) et un PRA semblent des évidences aujourd’hui (quoique comme sous-entendu, leur mise en place sont trop peu souvent éprouvées), la difficulté pour les entreprises avec le RGPD reste la création du registre de traitement.

    C’est d’un point de vue SSI un atout qui n’a pas attendu le RGPD pour être une évidence même, au même titre qu’une cartographie des systèmes. Et pourtant qui va nécessiter un travail long en temps et en ressources, et l’énergie (la motivation?) de toutes les directions et des acteurs possédant la connaissance.

    La mise en place d’une équipe dédiée à un coût non négligeable, et la barrière encore la plus solide est celle de se voir octroyé un vrai budget et des ressources humaines dédiés.

    Maintenant, les « sanctions » annoncées ont fait clairement bouger les choses – même s’il ne me semble pas qu’il y ait encore beaucoup d’auditeurs certifiés?

Répondre à Maxime

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.