Pour aider les professionnels dans leur mise en conformité, la CNIL publie un guide rappellant les précautions élémentaires devant être mises en œuvre de façon systématique.
Ce guide peut être utilisé dans le cadre d’une gestion des risques, constituée des quatre étapes suivantes :
1) Recenser les traitements de données à caractère personnel, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent.
2) Apprécier les risques engendrés par chaque traitement :
- En identifiant les impacts potentiels sur les droits et libertés des personnes concernées, les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté ?) et les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?).
- En déterminant les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation)
- En estimant enfin la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).
3) Mettre en œuvre et vérifier les mesures prévues.
4) Faire réaliser des audits de sécurité périodiques.
Source : https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles
Cet article a été rédigé en février 2018. Nous vous rappelons que cette analyse est applicable à ce jour et ne prend pas en compte les éventuelles modifications, les données sont susceptibles de changer.