10 conseils pratiques pour renforcer la sécurité des données personnelles de votre entreprise

Protéger les données de votre entreprise ne constitue pas seulement une bonne pratique, mais aussi une obligation légale. Cela n’est pas prêt de changer : l’importance croissante des données des entreprises à l’ère numérique rend peu probable un assouplissement de la législation.

Lorsqu’il s’agit de données personnelles, le RGPD exige la mise en œuvre de « mesures techniques et organisationnelles appropriées » afin de garantir un niveau de sécurité proportionnel au risque.

En 2023, il est plus que jamais essentiel de protéger les données personnelles. C’est la raison pour laquelle nous vous présentons dix conseils pratiques pour renforcer la sécurité des données personnelles de votre entreprise issus du guide de la CNIL.

1. Conseil n°1 : gérez les accès aux données personnelles
2. Conseil n°2 : sécurisez vos postes de travail et terminaux mobiles
3. Conseil n°3 : sécurisez vos sites internet
4. Conseil n°4 : sécurisez les locaux
5. Conseil n°5 : effectuez des sauvegardes régulières des données personnelles
6. Conseil n°6 : gérez l’archivage des données personnelles
7. Conseil n°7 : tracez les opérations sur les données
8. Conseil n°8 : vérifiez la sécurité avant de transmettre des données personnelles
9. Conseil n°9 : sécurisez vos relations de sous-traitance de données personnelles
10. Conseil n°10 : sensibilisez vos employés à la sécurité des données personnelles

1. Conseil n°1 : gérez les accès aux données personnelles

Lorsque vous cherchez à renforcer la sécurité des données de votre entreprise, il est essentiel de déterminer qui a accès à quelles informations. Voici quelques pratiques clés pour y parvenir :

• identifiez clairement qui utilise les ressources informatiques de l’entreprise ;
• mettez en place des mécanismes d’authentification robustes, que ce soit une authentification simple ou multi-facteurs ;
• interdisez l’utilisation de comptes partagés, sauf en cas d’accord préalable écrit de l’entreprise ;
• conservez la confidentialité de vos mots de passe, assurez-vous de les modifier régulièrement, et modifiez les mots de passe attribués automatiquement ;
• créez des profils d’habilitation en fonction des postes et des responsabilités spécifiques des employés, en veillant à ce qu’ils disposent uniquement des autorisations nécessaires pour accomplir leurs missions ;
• établissez un processus de validation pour toutes les demandes d’habilitation, garantissant ainsi un contrôle strict sur les accès ;
• n’oubliez pas de révoquer les accès dès qu’ils ne sont plus nécessaires, notamment en cas de départ d’un employé ou de changement de poste.

Bon à savoir : pour vérifier la robustesse de la politique de mot de passe, allez tester l’outil de la CNIL ici.

2. Conseil n°2 : sécurisez vos postes de travail et terminaux mobiles

Lorsqu’il s’agit de protéger vos données, la sécurité des postes de travail et des terminaux mobiles est cruciale. Voici quelques mesures à mettre en place :

• activez le verrouillage automatique des sessions sur les postes de travail après une période d’inactivité pour empêcher un accès non autorisé ;
• assurez-vous d’avoir installé sur les postes de travail des logiciels antivirus et des pare-feux afin de détecter et prévenir les menaces potentielles ;
• encouragez le stockage des données sur le réseau interne plutôt que sur les postes de travail, ce qui réduit le risque de perte en cas de problème matériel ou vol.

Pour les terminaux mobiles, élaborez un processus spécifique en cas de vol ou de perte, avec les coordonnées du contact pour accompagner l’employé en cas d’incident.

Bon à savoir : restez informé des dernières vulnérabilités sur les logiciels utilisés dans votre système d’information. Le Centre gouvernemental français de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) offre des alertes et des avis sur les vulnérabilités découvertes dans les logiciels et le matériel, ainsi que des conseils pour les prévenir. A consulter sans modération ici.

3. Conseil n°3 : sécurisez vos sites internet

Assurer la sécurité de vos sites internet est essentiel, particulièrement si votre site permet la collecte de données personnelles. Voici quelques mesures clés à prendre en compte :

• mettez en place le protocole TLS (Transport Layer Security). Le protocole TLS chiffre les communications entre le navigateur de l’utilisateur et votre site, renforçant ainsi la confidentialité et la sécurité des données ;
• lorsque c’est nécessaire, assurez-vous de recueillir le consentement explicite des visiteurs avant de déposer des cookies sur leur navigateur.

Bon à savoir : vous pouvez consulter le guide de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur la sécurisation des sites web accessibles ici.

4. Conseil n°4 : sécurisez vos locaux

La sécurité des données passe aussi par celle des locaux où vous stockez vos serveurs informatiques et terminaux.

Pour cela, vous pouvez mettre en place des dispositifs de sécurité tels que des alarmes et des détecteurs de fumée pour prévenir les intrusions non autorisées et réagir rapidement en cas d’incidents.

Il est nécessaire d’établir des règles strictes de contrôle des accès aux locaux. Seuls les employés autorisés devraient avoir accès aux zones où les serveurs et les terminaux sont stockés. Utilisez des systèmes de verrouillage sécurisés, tels que des cartes d’accès, des codes PIN, ou des serrures biométriques, pour limiter l’accès aux seules personnes autorisées.

Ces actions contribuent à la protection de vos équipements et, par extension, à celle de vos données.

5. Conseil n°5 : effectuez des sauvegardes régulières des données personnelles

La sauvegarde régulière des données personnelles contribue à leur protection.

Il est recommandé de programmer des sauvegardes régulières et automatiques de vos données. Cela permet de minimiser le risque de perte de données en cas d’incident.

Stockez au moins deux copies de vos sauvegardes : l’une sur un site externe sécurisé, tel qu’un service de stockage en ligne ou un site distant, et l’autre hors ligne, de préférence dans un lieu physique sécurisé. Cette approche garantit la redondance et la disponibilité des données en cas de sinistre.

Mauvaise pratique : conserver les sauvegardes au même endroit que les données d’origine. En effet, il est essentiel de les isoler pour réduire les risques associés à des incidents tels que les pannes matérielles, les cyberattaques ou les catastrophes naturelles.

6. Conseil n°6 : gérez l’archivage des données personnelles

L’archivage sécurise les données personnelles tout en respectant les limites de durée de conservation.

En effet, lorsque les limites de durée de conservation des données personnelles dans la base de données active sont atteintes, il est impératif de les archiver. Cela consiste à transférer ces données vers un stockage sécurisé et adapté à l’archivage.

Pour assurer l’efficacité de l’archivage :

• mettez en place une politique de gestion des accès aux archives. Seules les personnes autorisées devraient avoir accès à ces données archivées, et vous devez surveiller et enregistrer toutes les activités liées à l’archivage pour des raisons de sécurité et de conformité ;
• configurez des mécanismes de suppression des archives pour respecter les délais légaux de conservation des données. Cela garantit que vous ne conservez pas de données plus longtemps que nécessaire.

Mauvaise pratique : conserver des archives sur des supports périssables ou faciles à perdre. Optez pour des supports de stockage robustes et durables, tels que des serveurs d’archivage ou des services de stockage en nuage sécurisés.

7. Conseil n°7 : tracez les opérations sur les données personnelles

La traçabilité des opérations sur les données personnelles ne doit pas être négligée.

A ce titre, vous pouvez mettre en place un système de journalisation (logs) pour enregistrer toutes les données nécessaires à l’identification de l’auteur, de la date, de l’heure et de la nature de chaque opération effectuée sur les données personnelles, entre autres informations pertinentes.

En revanche, vous devez vous assurer de conserver les données issues de la journalisation pour des périodes limitées.

Vous pouvez également vérifier que vos sous-traitants ou partenaires ayant accès aux données personnelles ont également mis en place un système de journalisation des opérations. Cela permet de renforcer la traçabilité et de s’assurer que les données sont correctement gérées à chaque étape du traitement.

Pour aller plus loin dans la mise en place d’un système de journalisation des données, vous pouvez consulter la recommandation de la CNIL.

8. Conseil n°8 : vérifiez la sécurité avant de transmettre des données personnelles

Avant de partager des données personnelles, il faut impérativement prendre des mesures pour garantir leur sécurité lors du transfert.

Voici quelques recommandations :

• assurez-vous de ne pas envoyer de données à la mauvaise personne ou de donner un accès non autorisé à des tiers proposant des services de transmission de fichiers volumineux sans fournir de garanties adéquates de sécurité ;
• chiffrez les documents contenant des données personnelles avant le transfert. Pour un rappel des grands principes de la cryptologie et du chiffrement, consultez le site de la CNIL ici;
• analysez les documents que vous recevez à l’aide d’un logiciel antivirus fiable pour détecter tout contenu malveillant ou des menaces potentielles.

9. Conseil n°9 : sécurisez vos relations de sous-traitance de données personnelles

Lorsque vous travaillez avec des sous-traitants qui vont traiter pour votre compte des données personnelles, il est impératif de sécuriser vos relations.

Avant de sélectionner un sous-traitant, vérifiez attentivement son sérieux en matière de sécurité des données. Demandez des informations sur les mesures de sécurité qu’il a mises en place, ainsi que sur ses éventuelles certifications ou normes de sécurité auxquelles il adhère.

Il est essentiel de conclure un contrat écrit avec vos sous-traitants. Ce contrat doit contenir des clauses spécifiques liées à la sécurité des données personnelles, la confidentialité, les responsabilités en cas de violation, et les obligations de conformité aux réglementations applicables.

10. Conseil n°10 : sensibilisez vos employés à la sécurité des données personnelles

Toutes les bonnes pratiques de conformité ne valent rien si elles ne sont pas comprises et suivies par les employés.

En effet, l’engagement de vos équipes est essentiel pour garantir la sécurité des données personnelles.

Élaborez une charte informatique claire et compréhensible. Cette charte définira les règles et les bonnes pratiques en matière de sécurité des données, y compris l’utilisation des systèmes informatiques, la gestion des mots de passe et la confidentialité des données personnelles.

Vous pouvez également organiser des sessions de formation régulières pour sensibiliser les employés à l’importance de la sécurité des données personnelles.

Conclusion

La sécurité des données personnelles doit être perçue comme un investissement dans l’avenir de votre entreprise. Elle contribue non seulement à prévenir les risques, mais aussi à renforcer la confiance de vos clients et la réputation de votre entreprise.

Ne perdez pas de temps et foncez évaluer le niveau de sécurité des données personnelles de votre entreprise grâce à la grille d’évaluation proposée par la CNIL, qui offre des conseils détaillés pour évaluer votre conformité.

L’efficacité de ces mesures dépend de leur mise en œuvre adéquate et de leur suivi continu. Il est nécessaire aussi de les vérifier régulièrement.

Ainsi, il peut être utile d’être accompagné par un expert en droit des données ou de réaliser un audit pour s’assurer que vos pratiques et vos systèmes sont à jour et conformes aux réglementations en constante évolution.

Reprenez le contrôle sur la sécurité de vos données !