RGPD : les précautions élémentaires à prendre pour protéger les données personnelles

La gestion des risques permet de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données…» (article 34 de la loi du 6 janvier 1978 modifiée, dite loi « informatique et libertés »). Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

Le guide élaboré par la CNIL développe les étapes indispensables pour protéger les données personnelles détenues par l'entreprise.

La première des actions consiste à recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent.

Dans un deuxième temps, il s'agira d'apprécier les risques engendrés par chaque traitement :

• identifier les impacts potentiels sur les droits et libertés des personnes concernées (accès illégitime à des données, modification de données, disparition de données...)
• identifier les sources de risques humaines et non humaines...
• identifier les menaces réalisables
• déterminer les mesures existantes ou révues
• estimer la gravité et la vraismblance des risques.

Une fois cette analyse effectuée, il conviendra de mettre en oeuvre et vérifier les mesures prévues, en faisant réaliser des audits de sécurité périodiques.

La CNIL a conçu son guide sous forme de fiches pratiques permettant pour chaque thématique abordée (sécuriser les serveurs, sécuriser les sites web, archiver...) de faire un point complet sur les bonnes pratiques et les process à mettre en place.