RGPD* : garantir la sécurité des données, un gage de confiance et de qualité

 

* RGPD : Règlement Général sur la Protection des Données, en application depuis le 25 mai 2018, qui a pour principaux objectifs de renforcer le droit des personnes et de responsabiliser les acteurs traitant des données personnelles sur le territoire de l’Union européenne.

Pour rappel, voici les 4 étapes majeures à mener afin de se mettre en conformité :

> Constituer un registre des traitements des données : lire l’article
> Nettoyer les bases de données : lire l’article
> Respecter les droits des
personnes : lire l’article
> Sécuriser les données : étape n°4, lire ci-dessous

Dans les articles précédents, nous avons montré comment et pourquoi constituer un registre, avons mis en évidence les atouts d’une base de données triée et « nettoyée » et avons étudié comment respecter les droits des personnes qui nous confient leurs données.

L’ étape suivante nous informe sur la nécessité de sécuriser les données personnelles qui nous sont confiées et donne des pistes pour minimiser les risques de perte et de piratage. En effet, nous sommes tenus à une obligation légale d’assurer la sécurité des données personnelles que nous détenons.

 

Où se trouvent les données collectées ?

  • Sur des supports dématérialisés comme les ordinateurs, clés USB, disques durs, téléphones, etc. mais également au niveau des systèmes d’exploitation, les messageries, bases de données, applications et les différents canaux informatiques : câbles, WIFI, fibre optique,…
  • Elles peuvent également être détenues par des personnes physiques (utilisateurs, administrateurs informatiques, etc.) sur supports papier (impressions, photocopies, documents divers) et transitent par les canaux de transmission tels que les envois postaux, les circuits de validation en entreprise.

 

Les menaces qui pèsent sur nos données

Lorsque l’on constate un accès illégitime aux données, un vol (exemples : piratage par un hacker, observation de données sur un écran à l’insu de l’utilisateur, attaque informatique par un virus) ou que l’on soit victime d’un accident (incendie, faille de sécurité), les conséquences peuvent être :

  • La perte pure des données
  • La divulgation à des tiers sans consentement de la personne concernée
  • Des modifications non désirées des données

Les impacts pourront être négligeables (quelques désagréments, de la perte de temps), limités, importants (perte d’emploi, interdit bancaire), voire irrémédiable lorsque l’impact est maximal.

 

Nous devons donc être à la hauteur de la confiance des personnes qui nous transmettent leurs données et mettre tout en oeuvre pour assurer leur sécurité.

 

Comment s’y prendre ?

Les données personnelles doivent faire l’objet de mesures de sécurisation particulières tant physiques qu’informatiques.
Quelques exemples de bonnes pratiques à mettre en oeuvre :

Accès sécurisé aux locaux

Mise à jour régulière des antivirus et des logiciels

Création de profils distincts selon les utilisateurs (pour accéder aux données selon les besoins de chacun)

Utilisation de mots de passe complexes et modification régulière de ceux-ci

Protocole sécurisé en cas de transfert de données

Protocole https

Procédure de sauvegarde et de récupération des données en cas d’incident

Certaines organisations vont plus loin en se tournant vers des cabinets spécialisés afin d’assurer leurs données.

En cas de dysfonctionnement, il convient de signaler à la CNIL tout problème de fuite de données, accidentelle ou malfaisante, dans un délai de 72 heures. Cela concerne les données détruites, données perdues, altérées, modifiées, divulguées, constat d’un accès non autorisé. Pour en savoir plus : comment notifier une violation de données personnelles.

 

Focus sur la gestion des mots de passe

Un mot de passe « fort » :

  • Comprend entre 8 et 12 caractères.
  • N’est pas en lien évident avec l’utilisateur :  évitez date de naissance, ville de naissance, de résidence, le nom de votre entreprise, le prénom de votre conjoint(e), de vos enfants ou de votre animal de compagnie, etc.
  • Combine des lettres minuscules, majuscules, des chiffres, des caractères spéciaux (par exemple : * % }) et/ou des lettres accentuées.
    L’introduction délibérée de fautes d’orthographe est également un bon moyen de générer un mot de passe efficace !

 

Quelques règles de prudence :

  • Renouveler régulièrement les mots de passe qui protègent vos contenus ou accès les plus sensibles.
  • Dans l’idéal, utiliser un mot de passe différent pour chaque site ou service web et ne le communiquer pas à des tiers.
  • Afin d’éviter tout problème de vol de mots de passe, ne conservez pas ceux-ci sur papier.
    Si vos mots de passe sont répertoriés dans un fichier informatique, il convient de crypter ce dossier.
  • Veuillez toujours vous déconnecter d’un service ou d’un ordinateur avant de le quitter, surtout s’il se trouve dans un lieu public.

 

Quelques astuces pour créer et retenir un mot de passe fort et sécurisé :

Il est possible de définir des mots de passe compliqués et de les mémoriser grâce à des moyens mnémotechniques :

Choisir un mot de passe “classique” facilement mémorisable : décaler chaque lettre d’une ou plusieurs touches vers la droite ou vers la gauche, introduire des majuscules et/ou intercaler des caractères spéciaux.
Exemple : le mot cabriolet (si vous êtes fan !) pourrait devenir VzntopmrY% (en décalant d’une lettre vers la droite).

Mémoriser une phrase (quelques mots de l’une de vos chansons préférées) et ne prendre que les premières lettres de chaque mot de la phrase. On peut commencer par une majuscule et finir avec un point virgule par exemple.

« Celui qui n’essaie pas ne se trompe qu’une seule fois » (V. Sanson) donne le mot de passe : Cqn’epnstq’usf;

Pour information, la CNIL a mis en ligne un outil pour générer un mot de passe solide et fiable en se basant sur cette technique. Saisir en ligne votre phrase, et l’outil générera automatiquement un mot de passe facilement mémorisable : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide

Utiliser le nom du service (en alternant majuscule et minuscule) plus 2 caractères spéciaux et 4 chiffres (une année ou une date mémorable).
Ex: AmAzOn=*1977
Le principe est donc de garder un schéma fixe facilement mémorisable qui fera varier vos mots de passe selon les sites.

Lire ici les conseils de la CNIL pour un bon mot de passe.

 

Pour aller plus loin :

Savoir si le mot de passe de votre adresse mail a été piraté : https://haveibeenpwned.com/

Téléchargez VERACRYPT pour chiffrer et déchiffrer vos données

Générez des mots de passe avec KeePass

 

Besoin de plus d’informations ou d’aide dans la mise en place du RGPD ?

Sur le site de la CNIL
En contactant LIBELO

 

LIBELO vous accompagne de façon flexible et opérationnelle tout au long de vos projets de marketing et de communication.
Forte de plus de 20 années d’expérience dans le domaine du marketing, de la communication et de la vente, Isabelle MAHIEU, directrice de LIBELO a choisi de mettre ses compétences et expériences au service des dirigeants d’entreprise afin de leur permettre de se concentrer sur leur cœur de métier.