RGPD : Qu'est-ce qu'attend la CNIL de chacun de nous ?

J'attire votre attention sur un article tiré du site de la CNIL

Il porte sur la sécurité des données personnelles et de ce que cette organisme attend de chacun de nous.

La sécurité des données personnelles est un volet essentiel de la conformité à la loi informatique et libertés. Les obligations se renforcent avec le règlement général sur la protection des données  (RGPD). Ce guide rappelle les précautions élémentaires à mettre en œuvre de façon systématique.

Le règlement européen européen dispose dans son article 32 que : "le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque". 

Or, il est parfois difficile, lorsque l’on n'est pas familier avec les méthodes de gestion des risques, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été fait.

Pour aider les professionnels dans leur mise en conformité, la CNIL publie un guide rappellant les précautions élèmentaires devant être mises en œuvre de façon systématique.

Guide RGPD : gestion des risques,

Il est constituée des quatre étapes suivantes :

  1. Recenser les traitements de données à caractère personnel, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent.
  2. Apprécier les risques engendrés par chaque traitement :
  • En identifiant les impacts potentiels sur les droits et libertés des personnes concernées, les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté ?) et  les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). 
  • En déterminant les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation)
  • En estimant enfin la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).
  1. Mettre en œuvre et vérifier les mesures prévues
  2. Faire réaliser des audits de sécurité périodiques.

 

Ces 4 points qui nous sont expliqués sommairement ne sont là que pour nous signaler l'étendue du travail qu'il y a réaliser au sein de chaque société et l'importance de la prise de conscience générale que chacun de nous doit avoir qu'en a la protection des données.

Divers articles sur la RGPD qui pourrait vous intéresser...