Composantes fondamentales de la loi Informatique et Libertés et du Règlement Général sur la Protection des Données, les mesures techniques et organisationnelles apparaissent dans de nombreux articles et notamment les articles 5 1.f, l’article 32 du RGPD et l’article 4 de la LIL.
Ces obligations sont toujours adaptées aux particularités du traitement et aux risques qu’il présente pour les droits et libertés des personnes concernées.
Les sources des risques quant à elles peuvent être multiples, nous pouvons ainsi parler de risques internes et externes liés à une mauvaise manipulation des données et/ou à une mauvaise gestion des droits d’accès et/ou habilitations, des attaques malveillantes, de sinistres…
Des mesures obligatoires, différentes et imbriquées
Ces mesures s’appliquent aussi bien au responsable de traitement qu’au sous-traitant. Elles sont souvent utilisées conjointement même si les deux notions sont différentes et ne relèvent pas du même champ d’application des mécanismes de conformité.
Indispensables à toutes mises en œuvre de conformité, ces actions poursuivent le même objectif : éviter toute atteinte à la confidentialité, l’intégrité et à la disponibilité des données dans le respect de la protection de la vie privée.
Les mesures organisationnelles sont possibles grâce à l’activation de mesures techniques.
Les mesures techniques liées au RGPD
Les mesures techniques sont les solutions et les outils dédiés à la sécurisation des données confidentielles peu importe l’environnement de stockage de ces dernières. Le programme d’actions pour garantir un niveau de sécurité adapté aux risques peut être défini en interne par les services en charge du système d’information tel que la DSI et/ou par un prestataire informatique externe lorsque la taille de l’entreprise ne permet pas d’internaliser la fonction.
Quelques exemples de mesures techniques
-
Le chiffrement
-
La pseudonymisation des données à caractère personnel
-
Des solutions pour protéger le réseau (firewall, anti-virus)
-
Les flux sécurisés (TSL/SSL, https, sftp)
-
L’identification et l’authentification des utilisateurs
Les mesures organisationnelles liées au RGPD
Les mesures organisationnelles sont les précautions et procédures adoptées pour garantir la sécurité des données et par extension la protection de la vie privée. Ces mesures sont complémentaires aux mesures techniques et souvent rédigées et mises en place conjointement avec les différentes parties prenantes.
Quelques exemples de mesures organisationnelles
-
Politique de gestion des habilitations d’accès (aux données, aux locaux…)
-
Sensibilisation des collaborateurs au RGPD sur les conditions liées à l’utilisation des données
-
Mise en place de procédure de gestion des incidents pouvant avoir un impact direct ou indirect sur les données traitées par l’organisation
Les mesures techniques et organisationnelles et leur bonne implémentation jouent un rôle décisif pour répondre aux exigences du RGPD. La consultation d’une société de conseil spécialisée en protection des données personnelles est à mesurer pour s’assurer du plus haut niveau de conformité, écarter toute sanction de la CNIL et toute négligence en matière de sécurité.