RGPD : renforcement de l’obligation de sécurité des entreprises

Données personnelles

Le RGPD est venu renforcer les mesures de protection à mettre en place concernant les données à caractère personnel détenues par les entreprises. Entreprise privée ou publique, ETI, PME, TPE, profession libérale… quelle que soit sa forme ou sa taille, chaque organisation, sans exception, doit apporter des garanties suffisantes pour protéger les données personnelles de ses clients, salariés et fournisseurs.

 

Données personnelles : des mesures obligatoires à mettre en place

L’entreprise responsable de traitement (1) doit veiller à prendre toutes les mesures de protection nécessaires. Elle doit anticiper et prévenir les risques tels que l’accès non autorisé, la modification ou la suppression (accidentelle ou malveillante) des données traitées ou simplement stockées.

Quelles mesures de protection mettre en place ?

Depuis l’entrée en vigueur du RGPD, l’entreprise devra démontrer la mise en place de 3 types de mesures :

  • physiques : alarme, accès par badge, coffre-fort, télésurveillance…
  • logiques : politique des mots de passe, pare-feu, mise à jour régulière des antivirus, sauvegarde régulière, sécurisation des échanges de données sur internet (https, TLS)…
  • organisationnelles : charte informatique, procédures d’habilitation et d’accès aux données, engagement contractualisé de confidentialité des salariés, procédures internes en cas de violation de données, encadrement des sous-traitants (2), réalisation d’études d’impact sur la vie privée…
 

Pour information :

Le principe de Privacy by design/ by default impose de protéger les données à caractère personnel dès la conception, et dans les paramètres par défaut d’un produit ou d’un service.

La rédaction d’une charte informatique est indispensable pour sensibiliser les salariés aux règles de protection des données édictées dans l’entreprise.

Pour faciliter la mise en place de ces mesures, la CNIL propose sur son site Internet une politique de gestion des mots de passe, ainsi qu’un guide pour assurer la sécurité des données (sécuriser les postes de travail, gérer la sous-traitance, etc.).

(1) l’article 4 du RGPD entend par “Responsable du traitement”, la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement”

(2) l’article 4 du RGPD entend par "Sous-traitant", la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du Responsable du traitement.