Checklist sécurité des données personnelles

La loi oblige le responsable des traitements à protéger les données personnelles

La loi informatique & Liberté et la RGPD ont introduit un principe de protection spécifique des données personnelles qu'une entreprise ou une collectivité est amenée à gérer..

Pour savoir où vous en êtes, la CNIL propose une checklist que ce formulaire reprend. Cette checklist vous permet de faire un mini-audit des éléments qui contribuent à la sécurité des données personnelles stockées dans votre Système d'information.

NB : en cas de contrôle, il incombe au responsable du traitement de démontrer qu'il a fait ce qu'il fallait pour vérifier sa conformité. La présentation de ce formulaire peut vous y aider.

 

  1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
  2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.
  3. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Checklist sécurité des données personnelles


Liste des choses :

Sensibiliser les utilisateurs

Informez et sensibilisez les personnes manipulant les donnéesRédigez une charte informatique et lui donner une force contraignante

Authentifier les utilisateurs

Définissez un identifiant (login) unique à chaque utilisateurAdoptez une politique de mot de passe utilisateur conforme à nos recommandationsObligez l’utilisateur à changer son mot de passe après réinitialisationLimitez le nombre de tentatives d’accès à un compte

Gérer les habilitations

Définissez des profils d’habilitation de tous les utilisateursSupprimez toutes les permissions d’accès obsolètesRéaliser une revue annuelle des habilitations

Tracer les accès et gérer les incidents

Prévoyez un système de journalisationInformez les utilisateurs de la mise en place du système de journalisationProtégez les équipements de journalisation et les informations journaliséesPrévoyez les procédures pour les notifications de violation de données à caractère personnel

Sécuriser les postes de travail

Prévoyez une procédure de verrouillage automatique de sessionUtilisez des antivirus mis à jour aussi rapidement que possibleInstallez un « pare-feu » (firewall) logiciel (à jour)Recueillez l’accord de l’utilisateur avant toute intervention sur son poste

Sécuriser l'informatique mobile

Prévoyez des moyens de chiffrement des équipements mobilesFaites des sauvegardes ou synchronisations régulières des donnéesExigez un code secret pour le déverrouillage des smartphones

Protéger le réseau informatique interne

Limitez les flux réseau au strict nécessaireSécurisez les accès distants des appareils informatiques nomades par VPNMettez en oeuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi

Sécuriser les serveurs

Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitéesInstallez sans délai les mises à jour critiquesAssurez une disponibilité des données par un pilotage de production

Sécuriser les sites web

Utilisez le protocole TLS et vérifiez sa mise en oeuvreVérifiez qu'aucun mot de passe ou identifiant ne passe dans les urlContrôlez que les entrées des utilisateurs correspondent à ce qui est attenduMettez un bandeau de consentement pour les cookies non nécessaires au service

Sauvegarder et prévoir la continuité d'activité

Effectuez des sauvegardes régulières avec des tests de restaurationStockez les supports de sauvegarde dans un endroit sûrPrévoyez des moyens de sécurité pour le convoyage des sauvegardesPrévoyez et testez régulièrement la continuité d'activité

Archiver de manière sécurisée

Mettez en oeuvre des modalités d’accès spécifiques aux données archivéesDétruisez les archives obsolètes de manière sécurisée

Encadrer la maintenance et la destruction des données

Enregistrez les interventions de maintenance dans une main couranteEncadrez par un responsable de l’organisme les interventions par des tiersEffacez les données de tout matériel avant sa mise au rebut

Gérer la sous-traitance

Prévoyez une clause spécifique dans les contrats des sous-traitantsPrévoyez les conditions de restitution et de destruction des donnéesAssurez-vous de l'effectivité des garanties prévues (audits de sécurité, visites, etc.)

Sécuriser les échanges avec d'autres organismes

Chiffrez les données avant leur envoi (avec un niveau de sécurité suffisant)Assurez-vous qu'il s'agit du bon destinataireTransmettez le code secret lors d'un envoi distinct et via un canal différent

Protéger les locaux

Restreignez les accès aux locaux au moyen de portes verrouilléesInstallez des alarmes anti-intrusion et vérifiez-les périodiquement

Encadrer les développements informatiques

Proposez des paramètres respectueux de la vie privée aux utilisateurs finauxÉvitez les zones de commentaires ou encadrez-les strictementTestez sur des données fictives ou anonymisées

Utiliser des fonctions cryptographiques

Utilisez des algorithmes, des logiciels et des bibliothèques reconnuesConservez les codes secrets et les clés cryptographiques de manière sécurisée



À l'exception de votre adresse mail pour conserver votre acception d'utilisation, aucune données ne sera conservée par notre société. En validant ce formulaire, vous acceptez les conditions générales d'utilisation des services de ce site.
captcha
 
Consulter les conditions d'utilisation des services du site rgpd-brest.fr

Pour aller plus loin

Les commentaires sont clos.