C'est très bien d'avoir de bonnes intentions pour assurer la sécurité des données personnelles, mais pour être réellement conformes, les organisations doivent s'assurer qu'elles utilisent les mesures techniques et organisationnelles appropriées.
Avec la première véritable modification de la loi Informatique et Libertés depuis 20 ans, regardons ce que contient le Règlement Général sur la Protection des Données. (GDPR) dit sur les principes de sécurité.
Notre sécurité des données personnelles n'a rien de nouveau. Le Protection des données (DPA) 1998 recommande que les meilleures pratiques incluent l'évaluation du risque pour les informations et la mise en place de mesures de sécurité appropriées. Mais avec l’avènement du RGPD, ces recommandations constituent désormais une obligation légale.
Dans le nouveau règlement, l'article 5(1)(f) parle de intégrité et confidentialité des données personnelles, désormais connu sous le nom de « principe de sécurité » du RGPD :
« Traitées de manière à garantir une sécurité appropriée des données personnelles, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées. »
Le but du principe de sécurité est de garantir que les mesures de sécurité de votre organisation contribuent à empêcher la perte, le vol ou la compromission des données personnelles que vous détenez. Alors quand on parle de sécurité de l'information, nous incluons également la sécurité cybernétique, physique et organisationnelle.
L'Information Commissioner's Office (ICO) recommande que le principe de sécurité soit pris en compte parallèlement à l'article 32 du RGPD, en particulier l'article 32(1).
« Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque plus ou moins probable et grave pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.
Si les organisations et les individus ne suivent pas sécurité de l'information processus et principes, le risque pour les biens et les vies peut être important. Voici quelques exemples de préjudices :
Avant tout, la sécurité des informations est une exigence légale qui vous aide également à pratiquer une bonne gouvernance des données et à démontrer à vos chaîne d'approvisionnement et des clients en qui vous pouvez avoir confiance.
De plus, plus vous travaillez ici, mieux c'est, car l'ICO évalue les mesures techniques et organisationnelles que vous avez mises en place lorsqu'elle envisage une amende – si le pire devait arriver.
ISMS.online vous fera gagner du temps et de l'argent vers la certification ISO 27001 et simplifiera sa maintenance.
Responsable de la sécurité de l'information, Honeysuckle Health
Avec ISMS.online, les défis liés au contrôle de version, à l'approbation et au partage de politiques appartiennent au passé.
Comme nous l'avons déjà évoqué, les principes de sécurité incluent tous les aspects du traitement des données personnelles (cyber et physique).
Ainsi, les mesures de sécurité garantiront que les données personnelles ne peuvent être consultées que par des personnes autorisées à des fins de divulgation ou de suppression. Les mesures garantiront que les données sont exactes et complètes et restent accessibles et utilisables. Il s'agit du principe de « confidentialité, intégrité et disponibilité ».
Bien que le RGPD ne fasse pas de recommandations ou de définitions spécifiques de vos mesures de sécurité, votre organisation est censée mettre en œuvre un niveau de sécurité « approprié ». Pour déterminer ce qui est considéré comme approprié pour vous, vous devez d’abord mesurer le risque et évaluer la valeur des données personnelles.
Une mesure organisationnelle comprendrait la réalisation d'un évaluation des risques liés aux informations. Aussi, construire une culture de l'information et la cybersécurité dans votre organisation est essentiel pour appliquer les principes au quotidien. Cela peut relever de la responsabilité d'un Responsable de la protection des données (DPO) ou un autre membre du personnel chargé de communiquer la sensibilisation à la sécurité.
L'ICO vous suggère également d'inclure les éléments suivants lorsque vous prenez des mesures pour satisfaire au principe de sécurité :
- coordination entre les personnes clés de votre organisation (par exemple, le responsable de la sécurité devra être informé de la mise en service et de l'élimination de tout équipement informatique) ;
- l'accès à des locaux ou à des équipements donnés à toute personne extérieure à votre organisation (par exemple pour la maintenance informatique) et les considérations de sécurité supplémentaires que cela engendrera ;
- continuité de l'activité des arrangements qui identifient la manière dont vous protégerez et récupérerez les données personnelles que vous détenez ; et
- des contrôles périodiques pour garantir que vos mesures de sécurité restent appropriées et à jour.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
La première étape pour adhérer au principe de confidentialité, d’intégrité et de disponibilité est de savoir où se trouvent toutes vos données personnelles. Heureusement ISMS.online a une solution pour ça.
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup