Depuis 2020, les manquements à l’obligation de sécurité sont le deuxième motif de sanction des autorités européennes de protection des données, tant au niveau des montants qu’en nombre de sanctions (*). Le risque d’amendes lié à la sécurité des données est de plus en plus élevé et devient désormais une préoccupation des dirigeants d’entreprises.
Au sein des organisations, les mesures emblématiques mises en place - mentions d’information, recueils de consentements, gestion des cookies - ne sont pas suffisantes pour garantir la conformité des traitements. Tous les acteurs ont une obligation de résultat en termes de sécurisation des données personnelles qui leur sont confiées. Et du côté des autorités de contrôle, le temps de l’indulgence est passé ! Comment se mettre en conformité ? Comment s’imbriquent la sécurité de l’information et la protection des données personnelles au sein des entreprises ?
Protection des données personnelles : quelles obligations de sécurité ?
Lors de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) il y a trois ans, les entreprises se sont focalisées sur la protection des données personnelles et le consentement du citoyen. Elles ont parfois mis de côté le sujet connexe de la sécurité de ces données. Pourtant, la sécurité des données personnelles fait partie intégrante du périmètre de la protection des données personnelles tel que défini par les institutions européennes.
Les articles traitant spécifiquement de la sécurité sont rassemblés dans la section 2 du chapitre 4 du RGPD :
- L’article 32 indique qu’il est indispensable de mettre en place des mesures de sécurité adaptées pour garantir la confidentialité, l'intégrité et la disponibilité des données personnelles. Il précise que les mesures à prendre doivent être adaptées aux risques. A noter : il pose aussi le principe de responsabilité du responsable de traitement et du sous-traitant. Il n’est pas possible de se défausser de sa responsabilité sur l’autre partie.
- L’article 33 indique qu’il est obligatoire de notifier à l’autorité de contrôle en cas de violation des données personnelles, et décrit les modalités de notification.
- L’article 34 décrit les modalités de notification aux personnes concernées en cas de violation.
Le sujet de la sécurité des données personnelles est abordé à d’autres endroits dans le règlement, comme par exemple les notions de « privacy by design » et « privacy by default ».
Désormais, le sujet de la protection des données concerne aussi bien le Data Protection Officer (DPO) que le Responsable de la Sécurité des Systèmes d'Information (RSSI).
Sécurité de l’information : un processus global de gestion des données
Une démarche de sécurité de l’information repose sur 3 objectifs principaux : les notions de disponibilité, intégrité et confidentialité. Selon la norme ISO 27000, base méthodologique de cette démarche :
- La disponibilité est la propriété d'être accessible et utilisable à la demande par une entité autorisée
- L’intégrité signifie l’exactitude et la complétude,
- La confidentialité est la propriété selon laquelle l'information n'est pas diffusée, ni divulguée, à des personnes, des entités ou des processus non autorisés.
Atteindre ces objectifs pour toutes les données personnelles traitées dans l’organisation n’est pas une mince affaire. Pour la disponibilité, il faut assurer la continuité et la résilience du système d’information (SI) ainsi que l’organisation nécessaire pour répondre aux demandes d’accès aux données. Pour l’intégrité, il faut mettre en place des processus de contrôle et de garantie de la qualité de l’information. Et pour la confidentialité, il faut une organisation précise pour définir qui a accès à quoi, des dispositifs d’authentification solides et des mesures de contrôle pour détecter d’éventuelles fuites.
En synthèse, cela nécessite un investissement fort de la direction, avec des mesures humaines, organisationnelles et techniques. C’est un projet complet, et potentiellement le plus complexe de l’ensemble « conformité RGPD ». Il faudra réunir les compétences de la direction informatique, du RSSI s’il y en a un, du DPO ou de l’équipe en charge de la protection des données, et de tous les métiers concernés par les traitements de données personnelles.
FOCUS : normes ISO et sécurité de l’informationLa norme ISO 27000 : guide méthodologique en matière de sécurité de l’information La norme ISO 27001 : guide opérationnel en matière de sécurité de l’information La norme ISO 27701 : extension de la norme ISO 27001 pour intégrer une méthodologie dédiée aux données personnelles Une démarche de sécurité de l’information peut aboutir à la certification ISO 270001. |
Sécurité de l’information : au-delà de la protection des données !
Il serait dommage de réserver un projet de cette ampleur aux seules données personnelles. Logiquement, il s’appliquera à la sécurité de l’information dans son ensemble. L’organisation identifiera l’ensemble des actifs informationnels qu’elle détient, parmi lesquels les données personnelles de ses employés, fournisseurs, clients, etc. mais aussi toutes les informations organisationnelles, industrielles, commerciales, financières. Elles constituent un patrimoine essentiel, à valoriser et à protéger ! Une fois que ce patrimoine sera inventorié et classifié, il sera possible de mettre en place efficacement une politique de protection globale, adaptée au niveau de risque acceptable pour chaque type d’information. Cette démarche peut passer par la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) selon la norme ISO 27001, et aboutir à une certification internationalement reconnue.
Toutes les entreprises ne souhaitent pas forcément être certifiées ISO 27001. Toutefois, pour garantir la conformité au RGPD et la confiance de leurs partenaires, toutes les entreprises doivent aujourd’hui se préoccuper de la sécurité de leur information.
Contact : Antoine Baranger, Senior Manager IT & Risk Advisory
Pour aller plus loin :