Interview : Fabien Soulis, Oppidum Security

Alors que le règlement européen sur le traitement des données personnelles (RGPD) entre en vigueur le 25 mai, Fabien Soulis, associé et directeur du pôle technique d’Oppidum Security, décrit l’impact de ce changement sur les systèmes d’information des entreprises.

Oppidum Security
Fabien Soulis, associé et directeur du pôle technique d’Oppidum Security

Que précise le nouveau règlement RGPD qui entre en vigueur le 25 mai ?

Fabien Soulis – Rappelons d’abord que, selon la Loi Informatiques et Libertés (LIL), une donnée à caractère personnel est définie comme « toute information relative à une personne physique identifiée ou pouvant être identifiée, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Le RGPD aura donc un impact direct sur la manière dont les organisations collectent, traitent et sauvegardent les données à caractère personnel au sein de leurs systèmes d’information. Dès lors, des mesures techniques et organisationnelles appropriées devront être mise en place pour offrir le plus haut niveau possible de protection des données. C’est ce qu’on appelle le principe de “privacy by design” qui est l’une des notions centrales du RGPD.

Quelle méthodologie adopter pour intégrer ce principe du “privacy by design” aux systèmes d’information afin de les rendre conforme au RGPD ?

F. S. – Il faut d’abord créer un registre des traitements, qui sert à documenter les activités pour lesquelles vous traitez des données personnelles. La tenue de ce registre est obligatoire, car il permet de faciliter le travail d’un inspecteur en cas de contrôle de la bonne application du RGPD au sein de votre organisation. Pour chaque activité, vous y décrirez la nature de l’activité (ex : Gestion des prospects), l’objectif poursuivi lors du traitement des données personnelles (ex : Organisation des campagnes marketing), le type de personnes dont vous collectez ou utilisez les données (ex : clients, abonnés à une lettre d’information, etc.), la nature des données personnelles collectées (ex : Etat-civil, situation familiale, etc.), la durée de conservation des données (ex : 1 an), les personnes pouvant accéder à ces données (ex : vendeurs, service marketing, direction informatique, etc.) et enfin les mesures de sécurité mises en place pour protéger les données personnelles (antivirus, surveillance des incidents, etc.). A ce stade, si vous identifiez que des données personnelles sont conservées sans objectif particulier, alors il faudra les détruire. En effet, tout traitement de données personnelles doit vous aider à poursuivre un objectif identifié et approuvé par les personnes dont vous traitez les données personnelles.

Une fois la liste des activités documentées dans le registre, quelle est la deuxième marche à suivre ?

F. S. – Il faut ensuite assurer que ces activités s’accompagnent de mesures de sécurité permettant de maintenir un haut niveau de protection de ces données. Pour ce faire, le RGPD demande aux organisations traitant des données à caractère personnel de réaliser un « data privacy impact assessment » (DPIA). Cette évaluation a pour but de recenser les risques engendrés par le traitement de données afin de déterminer les moyens adéquats pour les réduire. La réalisation d’un DPIA nécessite une bonne compréhension du cycle de vie des données. Pour que les risques cyber ne soient pas négligés, n’étant pas toujours bien compris par les organisations, il est d’ailleurs préférable de faire appel à des professionnels de la sécurité informatique pour vous assister.

cartographier les données personnelles

Comment mettre en place cette évaluation ?

F. S. – Le DPIA peut se décomposer en trois étapes. Pour commencer, il faut cartographier les données personnelles tout au long de leur cycle de vie : saisie, traitement, stockage, destruction. A chaque stade de leur cycle de vie, vous devez être en mesure de savoir où sont situés ces données personnelles dans vos systèmes d’information, mais aussi qui peut les consulter. Ensuite, il faudra réaliser une analyse afin d’identifier les risques pouvant impacter la confidentialité de ces données. Cela passe par une analyse à la fois des risques organisationnels et des risques de cybersécurité. Enfin, connaissant les risques encourus par ces données personnelles, il est nécessaire de définir les moyens à mettre en place pour garantir un haut niveau de protection de ces données.

Comment s’assurer de la confidentialité des données personnelles ?

F. S. – Chaque registre de traitement se termine par l’obligation pour la personne morale de décrire les mesures de sécurité organisationnelles et techniques qui ont été mises en place pour préserver la confidentialité des données. Les responsables de traitement doivent y décrire les dispositifs de contrôle instaurés pour protéger les données personnelles. Le registre de traitement proposé par la CNIL aborde six grandes catégories de contrôles :

  • Contrôle d’accès des utilisateurs (exemples de contrôles possibles : Document décrivant la liste des personnes habilitées à consulter des données et leurs droits dans les systèmes, Revue périodique des accès, Authentification à double facteurs pour accéder aux données critiques, Changement des mots de passe périodique, Analyse des connexions anormales, etc.)
  • Mesures de traçabilité (exemples de contrôles possibles : Chaque consultation et copie de donnée est enregistré, Analyse périodique des accès anormaux, etc.)
  • Mesures de protection des logiciels (exemples de contrôles possibles : antivirus, mises à jour et correctifs de sécurité, tests de sécurité, etc.)
  • Sauvegarde des données (exemples de contrôles possibles : les sauvegardes sont entreposées dans un centre sécurisé, les sauvegardes sont détruites au bout de 1 an, etc.)
  • Chiffrement des données (exemples de contrôles possibles : Chiffrement des disques durs, des fichiers, des communications de données personnelles, etc.)
  • Contrôle des sous-traitants (exemple de contrôle possible : Revue périodique du niveau de sécurité des sous-traitants, etc.)

La sélection des contrôles à mettre en place doit être en accord avec l’analyse de risque réalisée lors du « data privacy impact assessment » (DPIA). Pour être une réussite, la mise en conformité des systèmes d’information avec le RGPD est donc un travail pluridisciplinaire qui doit être entrepris en collaboration avec les différentes équipes et les informaticiens des entreprises et un expert en cybersécurité.

Internet : oppidumsecurity.com