Checklist sécurité des données personnelles

La loi oblige le responsable des traitements à protéger les données personnelles

La loi informatique & Liberté et la RGPD ont introduit un principe de protection spécifique des données personnelles qu'une entreprise ou une collectivité est amenée à gérer..

Pour savoir où vous en êtes, la CNIL propose une checklist que ce formulaire reprend. Cette checklist vous permet de faire un mini-audit des éléments qui contribuent à la sécurité des données personnelles stockées dans votre Système d'information.

NB : en cas de contrôle, il incombe au responsable du traitement de démontrer qu'il a fait ce qu'il fallait pour vérifier sa conformité. La présentation de ce formulaire peut vous y aider.

 

Checklist sécurité des données personnelles


    Liste des choses :

    Sensibiliser les utilisateurs

    Informez et sensibilisez les personnes manipulant les donnéesRédigez une charte informatique et lui donner une force contraignante

    Authentifier les utilisateurs

    Définissez un identifiant (login) unique à chaque utilisateurAdoptez une politique de mot de passe utilisateur conforme à nos recommandationsObligez l’utilisateur à changer son mot de passe après réinitialisationLimitez le nombre de tentatives d’accès à un compte

    Gérer les habilitations

    Définissez des profils d’habilitation de tous les utilisateursSupprimez toutes les permissions d’accès obsolètesRéaliser une revue annuelle des habilitations

    Tracer les accès et gérer les incidents

    Prévoyez un système de journalisationInformez les utilisateurs de la mise en place du système de journalisationProtégez les équipements de journalisation et les informations journaliséesPrévoyez les procédures pour les notifications de violation de données à caractère personnel

    Sécuriser les postes de travail

    Prévoyez une procédure de verrouillage automatique de sessionUtilisez des antivirus mis à jour aussi rapidement que possibleInstallez un « pare-feu » (firewall) logiciel (à jour)Recueillez l’accord de l’utilisateur avant toute intervention sur son poste

    Sécuriser l'informatique mobile

    Prévoyez des moyens de chiffrement des équipements mobilesFaites des sauvegardes ou synchronisations régulières des donnéesExigez un code secret pour le déverrouillage des smartphones

    Protéger le réseau informatique interne

    Limitez les flux réseau au strict nécessaireSécurisez les accès distants des appareils informatiques nomades par VPNMettez en oeuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi

    Sécuriser les serveurs

    Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitéesInstallez sans délai les mises à jour critiquesAssurez une disponibilité des données par un pilotage de production

    Sécuriser les sites web

    Utilisez le protocole TLS et vérifiez sa mise en oeuvreVérifiez qu'aucun mot de passe ou identifiant ne passe dans les urlContrôlez que les entrées des utilisateurs correspondent à ce qui est attenduMettez un bandeau de consentement pour les cookies non nécessaires au service

    Sauvegarder et prévoir la continuité d'activité

    Effectuez des sauvegardes régulières avec des tests de restaurationStockez les supports de sauvegarde dans un endroit sûrPrévoyez des moyens de sécurité pour le convoyage des sauvegardesPrévoyez et testez régulièrement la continuité d'activité

    Archiver de manière sécurisée

    Mettez en oeuvre des modalités d’accès spécifiques aux données archivéesDétruisez les archives obsolètes de manière sécurisée

    Encadrer la maintenance et la destruction des données

    Enregistrez les interventions de maintenance dans une main couranteEncadrez par un responsable de l’organisme les interventions par des tiersEffacez les données de tout matériel avant sa mise au rebut

    Gérer la sous-traitance

    Prévoyez une clause spécifique dans les contrats des sous-traitantsPrévoyez les conditions de restitution et de destruction des donnéesAssurez-vous de l'effectivité des garanties prévues (audits de sécurité, visites, etc.)

    Sécuriser les échanges avec d'autres organismes

    Chiffrez les données avant leur envoi (avec un niveau de sécurité suffisant)Assurez-vous qu'il s'agit du bon destinataireTransmettez le code secret lors d'un envoi distinct et via un canal différent

    Protéger les locaux

    Restreignez les accès aux locaux au moyen de portes verrouilléesInstallez des alarmes anti-intrusion et vérifiez-les périodiquement

    Encadrer les développements informatiques

    Proposez des paramètres respectueux de la vie privée aux utilisateurs finauxÉvitez les zones de commentaires ou encadrez-les strictementTestez sur des données fictives ou anonymisées

    Utiliser des fonctions cryptographiques

    Utilisez des algorithmes, des logiciels et des bibliothèques reconnuesConservez les codes secrets et les clés cryptographiques de manière sécurisée



    À l'exception de votre adresse mail pour conserver votre acception d'utilisation, aucune données ne sera conservée par notre société. En validant ce formulaire, vous acceptez les conditions générales d'utilisation des services de ce site.
    captcha
     
    Consulter les conditions d'utilisation des services du site rgpd-brest.fr

    Pour aller plus loin

    Les commentaires sont clos.