Sans aucun doute, l’article 32 du RGPD est l’article le plus complexe et le plus difficile à comprendre; il s’agit de la sécurité du traitement.

“Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a)la pseudonymisation et le chiffrement des données à caractère personnel;
b)des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.”

Pourquoi devrions-nous nous soucier de la sécurité des informations?

Une mauvaise sécurité des informations met vos systèmes et services en danger et peut causer de réels préjudices et de la détresse aux individus – des vies peuvent même être mises en danger dans certains cas extrêmes.

Voici quelques exemples des dommages causés par la perte ou l’abus de données personnelles:

– vol d’identité;
– fausses transactions par carte de crédit;
– le ciblage d’individus par des fraudeurs, potentiellement rendu plus convaincant par des données personnelles compromises;
– les témoins risquent d’être victimes de violences physiques ou d’intimidation;
– les délinquants menacés par les justiciers;
– divulgation des adresses du personnel de service, de la police et des gardiens de prison et des personnes menacées de violence domestique;
– fausses demandes de crédits
– fraude hypothécaire.

Bien que ces conséquences ne se produisent pas toujours, vous devez reconnaître que les individus ont toujours le droit d’être protégés contre des types de dommages moins graves, par exemple l’embarras ou les inconvénients.

 

Que doivent protéger nos mesures de sécurité?

Le principe de sécurité va au-delà de la façon dont vous stockez ou transmettez des informations. Tous les aspects de votre traitement des données personnelles sont couverts, pas seulement la cybersécurité. Cela signifie que les mesures de sécurité que vous mettez en place doivent viser à garantir que:

  • les données ne peuvent être consultées, modifiées, divulguées ou supprimées que par ceux que vous avez autorisés à le faire (et que ces personnes n’agissent que dans le cadre de l’autorité que vous leur donnez);
  • les données que vous détenez sont exactes et complètes par rapport à la raison pour laquelle vous les traitez; et
  • les données restent accessibles et utilisables, c’est-à-dire que si des données personnelles sont accidentellement perdues, modifiées ou détruites, vous devriez pouvoir les récupérer et ainsi éviter tout dommage ou détresse aux personnes concernées.

Ceux-ci sont connus sous le nom de “confidentialité, intégrité et disponibilité” et en vertu du RGPD, ils font partie de vos obligations.

Quelles mesures techniques devons-nous envisager?

Les mesures techniques sont parfois considérées comme la protection des données personnelles détenues dans les ordinateurs et les réseaux. Bien que ceux-ci soient d’une importance évidente, de nombreux incidents de sécurité peuvent être dus au vol ou à la perte d’équipement, à l’abandon d’anciens ordinateurs ou à des documents imprimés perdus, volés ou éliminés de manière incorrecte. Les mesures techniques incluent donc la sécurité physique et informatique.

Lorsque vous envisagez la sécurité physique, vous devez considérer des facteurs tels que:

  • la qualité des portes et serrures et la protection de vos locaux par des moyens tels que les alarmes, l’éclairage de sécurité ou la vidéosurveillance;
  • comment vous contrôlez l’accès à vos locaux et comment les visiteurs sont surveillés;
  • comment vous vous débarrassez de tout papier et déchets électroniques; et
  • comment sécuriser l’équipement informatique, en particulier les appareils mobiles.

Dans le contexte informatique, les mesures techniques peuvent parfois être appelées «cybersécurité».

Lorsque vous envisagez la cybersécurité, vous devez prendre en compte des facteurs tels que:

  • sécurité du système – la sécurité de votre réseau et de vos systèmes d’information, y compris ceux qui traitent les données personnelles;
  • sécurité des données – la sécurité des données que vous détenez dans vos systèmes, par exemple en s’assurant que les contrôles d’accès appropriés sont en place et que les données sont conservées en toute sécurité;
  • sécurité en ligne – par exemple, la sécurité de votre site Web et de tout autre service ou application en ligne que vous utilisez; et
  • la sécurité de l’appareil – y compris les politiques sur Bring-your-own-Device (BYOD) si vous l’offrez.

En fonction de la sophistication de vos systèmes, de vos besoins d’utilisation et de l’expertise technique de votre personnel, vous devrez peut-être obtenir des conseils spécialisés en matière de sécurité des informations qui dépassent le cadre de ces conseils. Cependant, il est également possible que vous n’ayez pas besoin de beaucoup de temps et de ressources pour sécuriser vos systèmes et les données personnelles qu’ils traitent.

Quoi que vous fassiez, vous devez vous rappeler ce qui suit:

  • vos mesures de cybersécurité doivent être adaptées à la taille et à l’utilisation de votre réseau et de vos systèmes d’information;
  • vous devez tenir compte de l’état du développement technologique, mais vous pouvez également considérer les coûts de mise en œuvre;
  • votre sécurité doit être adaptée à vos pratiques commerciales. Par exemple, si vous offrez au personnel la possibilité de travailler à domicile, vous devez mettre en place des mesures pour vous assurer que cela ne compromet pas votre sécurité; et
  • vos mesures doivent être adaptées à la nature des données personnelles que vous détenez et au préjudice qui pourrait résulter de tout compromis.

Ce site utilise des cookies. Plus d'informations peuvent être trouvées dans la Politique de confidentialité.

Accept
Privacy settings ×
×