Les actualités de MANIKA

ATEXIO intervient lors du colloque DPO Consulting le 8 février sur le RGDP

No comments

Quelles mesures de sécurité dans le RGPD pour protéger les données à caractère personnel ?

Article 32 du RGPD

La question est celle de l’article 32 du règlement « Sécurité du traitement » qui impose au responsable des traitements et à ses sous-traitants de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Comment faut-il la traiter ?

La pseudonymisation et le chiffrement des données sont cités. Les autres mesures de sécurité possibles ne le sont pas. L’article liste les objectifs de sécurité pour de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes. Il précise qu’il faut des moyens pour rétablir la disponibilité en cas d’incident.

Gestion des risques et plan de traitement des risques

Les entreprises doivent donc réaliser :

  • une appréciation des risques pour évaluer les risques initiaux,
  • sélectionner les mesures de sécurité de leur choix pour les réduire en gravité et vraisemblance,
  • évaluer le niveau des risques résiduels. Il appartient au responsable des traitements de justifier l’acceptation des risques résiduels.

Le RGPD comprend de très nombreuses exigences juridiques. Cet article pose la question de la cybersécurité des traitements et des données qui est au cœur des activités de conseil d’ATEXIO.

Les mesures de sécurité peuvent être multiples. On peut citer :

  • La création des bulles de sécurité fermées,
  • Les solutions d’anonymisation, de pseudonymisation, ainsi que de chiffrement,
  • Les contrôles physiques et logiques,
  • Les politiques de durcissement,
  • Les outils de MCO et MCS,
  • Le cloisonnement par firewalls,
  • Les systèmes de détection d’intrusion,
  • La conservation des traces et l’exploitation de SIEM,
  • Les outils de DLP,
  • Les bastions d’administration,
  • etc.

Certification ISO 27001 des sous-traitants

Le système d’information peut être certifié ISO 27001. Le RGPD, sans mentionner l’ISO 27001, introduit d’ailleurs cette possibilité de certification dans ses articles 32 et 40, et le développe dans ses articles 42 et 43 « certification » et « organisme de certification ».

De nombreux sous-traitants s’y intéressent pour montrer le sérieux de leur engagement à leurs clients. Ces derniers restent responsables des traitements, mais imposent leurs exigences à leurs sous-traitants. Le référentiel ISO 27018, pour protéger les données personnelles identifiantes (PII), peut être utilisé pour la déclaration d’applicabilité du SMSI. Les relations entre le responsable de traitement et ses sous-traitants doivent faire l’objet d’une rédaction attentionnée.

ATEXIO accompagne régulièrement ses clients dans de tels projets de certification.


Dominique CIUPA

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.