Actualités juridiques

Sécurité des données personnelles : un nouveau guide de la Cnil

Le 01/02/2018

Souvent détentrices de données à caractère personnel, les entreprises ont l’obligation d’en assurer la sécurité. Pour les y aider, la Cnil vient de mettre en ligne un guide pratique détaillant les mesures techniques et organisationnelles à déployer.

Le règlement européen sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018. Ce texte impose aux organismes qui détiennent des fichiers de données à caractère personnel (des fichiers de clients ou de prospects, par exemple) de déployer des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Pour se mettre en conformité, les entreprises doivent ainsi être en mesure, outre de recenser les fichiers de données concernés, d’apprécier le niveau de risque qu’encourt chacun de leur traitement pour parvenir à arrêter les démarches leur garantissant un niveau de sécurité adapté.

17 fiches pratiques

Le guide de la Cnil, baptisé « La sécurité des données personnelles », propose une véritable démarche de gestion des risques. En préambule, la Cnil y présente une méthode destinée à aider les entreprises administrant des traitements de données à caractère personnel à dresser un premier bilan. Ces dernières sont ainsi invitées à apprécier les risques qu’encourent les traitements de données (accès illégitimes, modifications non désirées, disparition des données…), à mesurer la vraisemblance et l’impact d’un sinistre et à juger de l’efficacité des mesures de protection existantes ou à venir.

En complément, 17 fiches pratiques (de 1 à 2 pages) sont présentées dans le guide. Les personnes chargées de mettre en conformité l’entreprise avec la RGDP pourront les utiliser pour structurer leur démarche de sécurisation des traitements de données personnelles. De nombreux points sont traités dans ces fiches simples et pédagogiques comme l’authentification des utilisateurs, la gestion des habilitations, la traçabilité et la gestion des incidents, la sécurisation des postes de travail, la sauvegarde des données, la gestion des sous-traitants ou encore la protection des locaux et le chiffrement des données.

Par : Frédéric Dempuré

<< Retour