Sécurité des données

Quand un établissement souhaite mettre en place, directement ou via une prestation, un système d’information traitant des données à caractère personnel, quelles sont les mesures de sécurité à mettre en place ? 

Les mesures de sécurité doivent, au possible, être identifiées en amont des projets (security by design), elles peuvent être techniques, organisationnelles ou portant sur la sensibilisation des différents acteurs du système (chef de projet, développeurs, utilisateurs, gestionnaire…). La Commission nationale de l’infor­matique et des libertés (CNIL) met à disposition un guide de la sécurité des données personnelles détail­lant les différentes mesures dans des fiches théma­tiques. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) propose un ensemble de docu­mentations et de ressources plus opérationnelles pour accompagner la sécurisation des systèmes. 

•       Guide de la CNIL

•       Ressources ANSSI

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, que doit faire le chef d’établissement ? 

La violation de données se caractérise principalement par la perte de disponibilité, d’intégrité ou de confi­dentialité de données personnelles, de manière acci­dentelle ou illicite. 

L’article 33 du RGPD impose au responsable de trai­tement, en l’espèce le chef d’établissement, de noti­fier à l’autorité de contrôle (la Commission nationale de l’informatique et des libertés – CNIL – en France) dans les meilleurs délais et, si possible au plus tard 72 heures après en avoir pris connaissance, les viola­tions présentant un risque pour les droits et libertés des personnes. 

Cette notification doit comporter les éléments suivants :

•      une description de la nature de la violation de don­nées à caractère personnel y compris, si possible, des catégories et du nombre approximatif de personnes concernées par la violation de leurs données person­nelles, et des catégories et du nombre approximatif de données à caractère personnel concernées ;

•      le nom et les coordonnées du délégué à la pro­tection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

•      une description des conséquences probables de la violation de données à caractère personnel ;

•      une description des mesures prises ou que le res­ponsable de traitement propose de prendre pour remédier à la violation des données à caractère per­sonnel, y compris, le cas échéant, des mesures pour en atténuer les éventuelles conséquences négatives. 

L’article 34 du RGPD prévoit en outre que lorsque la violation de données à caractère personnel est sus­ceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable de traitement notifie également à la personne concer­née, dans les meilleurs délais, la violation de données à caractère personnel. 

La communication à la personne concernée doit décrire, en des termes clairs et simples, la nature de la violation des données, ses conséquences pro­bables et les mesures prises ou que le responsable de traitement propose de prendre pour y remédier. Elle doit également contenir le nom et les coordonnées du délégué à la protection des données. 

Il convient de signaler que la communication à la personne concernée n’est toutefois pas nécessaire si le responsable de traitement a mis en œuvre les mesures de protection techniques et organisation­nelles appropriées et que ces mesures ont été appli­quées aux données personnelles affectées par la violation.

De la même manière, cette communication n’est pas exigée si le responsable de traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes phy­siques concernées n’est plus susceptible de se matérialiser.

Enfin, si cette communication exige des efforts dis­proportionnés, il pourra être procédé à une communi­cation publique ou à une mesure similaire permettant aux personnes physiques concernées d’être infor­mées de manière tout aussi efficace. 

Dans tous les cas, lorsqu’une violation de don­nées à caractère personnel a lieu, le responsable de traitement doit indiquer précisément en quoi a consisté l’incident en décrivant ses circonstances, ses effets et les mesures prises pour y remédier.

Il doit enfin être rappelé que le sous-traitant a l’obli­gation de notifier au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.