CNIL: Guide RGPD sécurité des données

A l’ère de la transformation numérique et l’économie numérique, la sécurité des données et le respect de la confidentialité, l’intégrité et la disponibilité des données est indispensable. A ce sujet, la Commission nationale informatique et libertés recommande aux entreprises les mesures techniques et organisationnelles suivantes.

Sensibiliser les utilisateurs

  • Informez et sensibilisez les personnes manipulant les données
  • Rédigez une charte informatique et lui donner une force contraignante

Authentifier les utilisateurs

  • Définissez un identifiant (login) unique à chaque utilisateur
  • Adoptez une politique de mot de passe utilisateur conforme à nos recommandations
  • Obligez l’utilisateur à changer son mot de passe après réinitialisation
  • Limitez le nombre de tentatives d’accès à un compte

Gérer les habilitations

  • Définissez des profils d’habilitation
    Supprimez les permissions d’accès obsolètes
  • Réaliser une revue annuelle des habilitations

Tracer les accès et gérer les incidents

  • Prévoyez un système de journalisation
  • Informez les utilisateurs de la mise en place du système de journalisation
  • Protégez les équipements de journalisation et les informations journalisées
  • Prévoyez les procédures pour les notifications de violation de données à caractère personnel

Sécuriser les postes de travail

  • Prévoyez une procédure de verrouillage automatique de session
  • Utilisez des antivirus régulièrement mis à jour
  • Installez un « pare-feu » (firewall) logiciel
  • Recueillez l’accord de l’utilisateur avant toute intervention sur son poste

Sécuriser l’informatique mobile

  • Prévoyez des moyens de chiffrement des équipements mobiles
  • Faites des sauvegardes ou synchronisations régulières des données
  • Exigez un secret pour le déverrouillage des smartphones

Protéger le réseau informatique interne

  • Limitez les flux réseau au strict nécessaire
  • Sécurisez les accès distants des appareils informatiques nomades par VPN
  • Mettez en oeuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi

Sécuriser les serveurs

  • Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitées
  • Installez sans délai les mises à jour critiques
  • Assurez une disponibilité des données

Sécuriser les sites web

  • Utilisez le protocole TLS et vérifiez sa mise en oeuvre
  • Vérifiez qu’aucun mot de passe ou identifiant ne passe dans les url
  • Contrôlez que les entrées des utilisateurs correspondent à ce qui est attendu
  • Mettez un bandeau de consentement pour les cookies non nécessaires au service

Sauvegarder et prévoir la continuité d’activité

  • Effectuez des sauvegardes régulières
  • Stockez les supports de sauvegarde dans un endroit sûr
  • Prévoyez des moyens de sécurité pour le convoyage des sauvegardes
  • Prévoyez et testez régulièrement la continuité d’activité

Archiver de manière sécurisée

  • Mettez en oeuvre des modalités d’accès spécifiques aux données archivées
  • Détruisez les archives obsolètes de manière sécurisée

Encadrer la maintenance et la destruction des données

  • Enregistrez les interventions de maintenance dans une main courante
  • Encadrez par un responsable de l’organisme les interventions par des tiers
  • Effacez les données de tout matériel avant sa mise au rebut

Gérer la sous-traitance

  • Prévoyez une clause spécifique dans les contrats des sous-traitants
  • Prévoyez les conditions de restitution et de destruction des données
  • Assurez-vous de l’effectivité des garanties prévues (audits de sécurité, visites, etc.)

Sécuriser les échanges avec d’autres organismes

  • Chiffrez les données avant leur envoi
  • Assurez-vous qu’il s’agit du bon destinataire
  • Transmettez le secret lors d’un envoi distinct et via un canal différent

Protéger les locaux

  • Restreignez les accès aux locaux au moyen de portes verrouillées
  • Installez des alarmes anti-intrusion et vérifiez-les périodiquement

Encadrer les développements informatiques

  • Proposez des paramètres respectueux de la vie privée aux utilisateurs finaux
  • Évitez les zones de commentaires ou encadrez-les strictement
  • Testez sur des données fictives ou anonymisées

Utiliser des fonctions cryptographiques

  • Utilisez des algorithmes, des logiciels et des bibliothéques reconnues
  • Conservez les secrets et les clés cryptographiques de manière sécurisée

DPOINFO-AVOCATS (DIA) vous accompagne pour la mise en conformité de votre structure aux règles en matière de protection des données et pour toute question en la matière.

Pour un devis ou pour toute autre question :

contact@dpoinfo-avocats.fr