Confidentialité des données personnelles en entreprise : les bonnes pratiques
La confidentialité et la protection des données personnelles (et des données en règle générale) ne se limitent pas aux champs d’action des juristes et des informaticiens. Tous les collaborateurs ayant accès au système d’information sont concernés, peu importe leurs responsabilités.
Nous allons d’abord rappeler ce que la CNIL définit comme données personnelles et mettrons l’accent sur les bonnes pratiques à adopter au sein de l’organisation pour en assurer la confidentialité.
Quelles données sont qualifiées de données personnelles ?
Selon le règlement général sur la protection des données (RGPD) une donnée personnelle est assimilée à « toute information se rapportant à une personne physique identifiée ou identifiable ». Ces modes d’identification se basent sur :
- L’identification directe qui peut être réalisée à partir d’une seule donnée telle qu’un nom ou un numéro de sécurité sociale par exemple ;
- L’identification indirecte via un numéro de téléphone, un numéro client, l’image ou encore la voix ;
- L’identification résultant d’un croisement de données qui permet de remonter vers une personne en particulier…
En tant qu’entreprise, cette règle s’applique aux informations concernant vos clients, vos prospects, mais aussi vos salariés ! Après avoir évalué la nature des données personnelles strictement nécessaires et les moyens par lesquels elles sont collectées et utilisées, vous êtes tenu d’assurer la sécurité de celles que vous détenez.
Sensibiliser les collaborateurs aux règles de confidentialité de ces données
La sensibilisation à la question de ces données concerne tous les collaborateurs en relation avec les clients, les fournisseurs et prestataires. Ils doivent être informés :
- Sur les règles de gestion en interne avec notamment la mise en place d’une hiérarchisation des accès ;
- Sur les règles de sécurité comme la séparation des usages professionnels et personnels, et l’utilisation de mots de passe renforcés d’une authentification multi facteur ;
- Ou encore sur les droits des personnes concernées.
Selon la taille de la structure, l’acculturation des collaborateurs est complétée par l’envoi de mises à jour à effectuer en fonction des services et des rôles. Les procédures doivent être facilement accessibles et documentées de façon compréhensible pour tous.
Les autres moyens à mettre en place selon la CNIL
Sur toute la durée de conservation des données personnelles, la CNIL impose diverses précautions :
- Sécuriser le réseau informatique, les serveurs, les postes de travail, y compris les postes de travail nomades ;
- Sécuriser le site Internet ;
- Renforcer l’authentification des utilisateurs et gérer les habilitations selon les rôles ;
- Mettre en place des moyens qui permettent la traçabilité des opérations ;
- Archiver de façon sécurisée les données dont la limite de conservation n’a pas été atteinte, et supprimer les données ayant dépassé cette limite ;
- Assurer la gestion de la fin de vie des logiciels et matériels…
Dernier point et non des moindres : en cas de tâches externalisées, il convient de veiller aux choix des prestataires. Ceux-ci doivent présenter des garanties suffisantes. C’est le cas de 3S2I qui met en œuvre des solutions pour la sécurité informatique de votre infrastructure, l’archivage et la sécurisation de toute donnée critique, mais aussi la maintenance et la fin de vie de vos équipements matériels et logiciels. Pour toute information, contactez-nous !