Pour garantir une sécurité des données à caractère personnel dans votre structure,il est primordial de sensibiliser le personnel travaillant sur des données à caractère personnel aux risques liés aux libertés et à la vie privée.
Le 14 juin 2018, le dispositif national Cybermalveillance.gouv.fr a publié le premier volet de son kit de sensibilisation. L'objectif est de sensibiliser les entités publiques et privées aux questions de sécurité du numérique, de partager les bonnes pratiques dans les usages personnels et, de manière vertueuse, d'améliorer les usages dans le cadre professionnel : ht...
Vous trouverez ci-joint un modèle de charte informatique
Il est important de prévoir la signature d’un engagement de confidentialité (voir exemple CNIL), ou prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.
Les clauses nécessaires ont été ajoutées dans les modèles de contrat diffusés par le Collège employeur via l'appli ISI RH Isidoor, le 1er septembre 2018.
Source cybermalveillance.gouv.fr
Respecter la recommandation de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe, notamment en stockant les mots de passe de façon sécurisée et en appliquant les règles de complexité suivantes pour le mot de passe :
au moins 8 caractères comportant 3 des 4 types de caractères (majuscules, minuscules, chiffres, caractères spéciaux) si l’authentification prévoit une restriction de l’accès au compte (cas le plus courant) comme :
une temporisation d’accès au compte après plusieurs échecs ;
un « Captcha » ;
un verrouil...
En cas de violation du système de données, le responsable des données dispose de 72 heures maximum pour prévenir la CNIL et les personnes concernées.
On entend par violation de données à caractère personnel :
La destruction, la perte ou l’altération non désirée.
La divulgation non autorisée de données à caractère personnel.
L’accès non autorisé à des données à caractère personnel transmises, conservées ou traitées d’une autre manière.
Il convient de déclarer :
La nature de la violation, si possible les catégories et le nombre approximatif de personnes concernées et d’enre...
Afin de protéger les données à caractère personnel de votre structure, vous devez vous assurer que tous les acteurs extérieurs, qui ont potentiellement accès à vos données respectent également les principes du RGPD.
Quelques exemples d'acteurs extérieurs, appelés Sous-traitant par la CNIL :
votre prestataire informatique (qui a accès à vos postes de travail, qui remplacent des ordinateurs, ...)
l'éditeur des logiciels utilisés par votre structure
l'hébergeur de votre site internet
...
Les données communiquées à ou gérées par des sous-traitants doivent bénéficier de garantie...
L’accès aux locaux doit être contrôlé pour éviter ou ralentir un accès direct, non autorisé, que ce soit aux fichiers papiers ou aux matériels informatiques, notamment aux serveurs.
Pour maintenir la sécurité de votre système d'information, il est primordial de limiter les accès aux seules données dont un utilisateur a besoin.
Les risques d’intrusion dans les systèmes informatiques sont importants et les postes de travail constituent un des principaux points d’entrée.
Les précautions élémentaires
Prévoir un mécanisme de verrouillage automatique de session en cas de non-utilisation du poste pendant un temps donné.
Installer un « pare-feu » (« firewall ») logiciel, et limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail.
Utiliser des antivirus régulièrement mis à jour et prévoir...
Afin de sécuriser votre système d'information, il est conseillé d'autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place