Le guide de la sécurité des données personnelles a pour but de rappeler les précautions de sécurité à mettre en œuvre dont certaines concernent directement les employeurs.
Le guide a été structuré en 5 parties comprenant 25 fiches :
– FICHE 1 : Piloter la sécurité des données
PARTIE 1 : LES UTILISATEURS
– FICHE 2 : Définir un cadre pour les utilisateurs
– FICHE 3 : Impliquer et former les utilisateurs
– FICHE 4 : Authentifier les utilisateurs
– FICHE 5 : Gérer les habilitations
PARTIE 2 : MON INFORMATIQUE, MES ÉQUIPEMENTS
– FICHE 6 : Sécuriser les postes de travail
– FICHE 7 : Sécuriser l’informatique mobile
– FICHE 8 : Protéger le réseau informatique
– FICHE 9 : Sécuriser les serveurs
– FICHE 10 : Sécuriser les sites web
– FICHE 11 : Encadrer les développements informatiques
– FICHE 12 : Protéger les locaux
PARTIE 3 : MA MAÎTRISE DES DONNÉES
– FICHE 13 : Sécuriser les échanges avec l’extérieur
– FICHE 14 : Gérer la sous-traitance
– FICHE 15 : Encadrer la maintenance et la fin de vie des matériels et logiciels
PARTIE 4 : SE PRÉPARER À UN INCIDENT
– FICHE 16 : Tracer les opérations
– FICHE 17 : Sauvegarder
– FICHE 18 : Prévoir la continuité et la reprise d’activité
– FICHE 19 : Gérer les incidents et les violations
PARTIE 5 : FOCUS
– FICHE 20 : Analyse de risques
– FICHE 21 : Chiffrement, hachage, signature
– FICHE 22 : Cloud : Informatique en nuage
– FICHE 23 : Applications mobiles : Conception et développement
– FICHE 24 : Intelligence artificielle : Conception et apprentissage
– FICHE 25 : API : Interfaces de programmation applicative
Il précise notamment que :
– il est recommandé de désigner une personne responsable de la sécurité des systèmes d’information (RSSI), devant notamment disposer des ressources nécessaires et des conditions de travail pour exercer ses missions, pour assurer le suivi de la sécurité et de la protection des données au quotidien
– il est préconisé de rédiger une charte informatique et de lui donner une force contraignante, par exemple en l’annexant au règlement intérieur.
– il est conseillé d’insérer dans les contrats de travail des salariés ayant vocation à manipuler des données personnelles une clause de confidentialité spécifique concernant ces données. Un modèle est proposé.
– il est important de sensibiliser les utilisateurs, en particulier les salariés travaillant avec des données personnelles. Par exemple, les ressources humaines doivent être sensibilisées aux données qu’elles manipulent.
– il est suggéré de communiquer sur les pratiques interdites (ex. : communiquer son mot de passe à une autre personne, utiliser un mot de passe pouvant être déduit du contexte dans lequel il est utilisé, enregistrer les mots de passe dans un navigateur sans mot de passe maître). Cette communication peut se faire via la charte informatique.
– les responsables de traitement sont invités à prévoir des procédures pour gérer les incidents et réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité). Il est par ailleurs recommandé de former le personnel sur l’identification et la notification de violations ainsi que la conduite à tenir dans ce cas.
Me Sophie WATTEL, avocat spécialiste en droit du travail