Enjeux de la sécurité informatique : Objectifs
A l'instar de la protection des données en général, la sécurisation des traitements doit trouver un équilibre entre, d'une part, les droits des personnes concernées par les traitements de données et, d'autre part, les intérêts des personnes traitant ces données. Autrement dit, il est nécessaire de protéger les données des personnes concernées tout en tenant également compte des intérêts légitimes des responsables du traitement.
Lors de la mise en œuvre d'un dispositif de sécurité, les objectifs suivants se dégagent:
- La confidentialité des données: les données doivent être accessibles que par les personnes autorisées.
- L'intégrité des données: les données ne doivent pas être modifiables de façon indue, que ce soit accidentellement ou par malveillance.
- La disponibilité des données et des outils: Les données doivent être protégées de l’inaccessibilité (destruction, cryptage, vol) malgré les aléas techniques (problèmes logiciels ou matériels) et/ou les attaques envers le système IT. Il faut également prévoir des moyens permettant de rétablir la disponibilité des données dans les meilleurs délais.
- La traçabilité et la transparence des traitements: Il s'agit de journaliser et de suivre les actions et traitements de données afin de pouvoir détecter et, dans la mesure du possible, prévenir que la confidentialité, l'intégralité ou la disponibilité soient compromises.
NB: Ce suivi n'est licite que lorsqu'il est effectué dans la finalité d'assurer la sécurité informatique. Il ne doit pas être utilisé dans le but primaire de surveiller les collaborateurs (p.ex. pour suivre ses prestations) ou des personnes tierces.
Le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD ») vise, entre autres, à assurer le respect de ces quatre objectifs par l’obligation du responsable du traitement de prendre des mesures de sécurité à l’égard des données à caractère personnel qu’il traite (art. 32 du RGPD). Tous ces objectifs doivent être poursuivis en adaptant les mesures proportionnées au risque que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite (art. 32 paragraphe 2 du RGPD).
De plus, il est important de préciser que la sécurité des systèmes informatiques doit tenir compte des constantes évolutions technologiques ou organisationnelles d’une entreprise. En d’autres termes, un système informatique doit perpétuellement être mis à jour afin d’assurer une sécurisation optimale.
Enjeux de la sécurité informatique: Moyens
L’article 32 du RGPD dispose que « compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation1 et le chiffrement2 des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »
1 pseudonymisation : Identification des individus via un identifiant unique (adresse IP, user id, etc...).
2 chiffrement : l'état des connaissances actuelles est à prendre en compte, une technologie désuète ne sera pas considérée comme valide.
Choix des sous-traitants
Lorsqu'un traitement est effectué pour compte du responsable du traitement (article 28 RGPD), ce dernier doit particulièrement faire attention aux points suivants :
(i) Le responsable du traitement doit choisir des sous-traitants qui apportent des garanties suffisantes au regard des mesures de sécurité techniques et organisationnelles relatives au traitement à effectuer. Il incombe tant au responsable qu'au sous-traitant de veiller au respect de ces mesures (art.32 paragraphe 1er du RGPD);
(ii) Le responsable du traitement doit veiller à ce que son sous-traitant ne recrute pas un autre sous-traitant sans son autorisation écrite préalable, spécifique ou générale. Dans le cas d'une autorisation écrite générale, le sous-traitant doit informer le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements (art. 32 paragraphe 2 du RGPD);
(iii) Le traitement doit être régi par un contrat ou un acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement et qui doit définir et préciser les différents points repris à l’article 28 paragraphe 3 du RGPD.
Mesures de sécurité : critères généraux
La mise en place des mesures de sécurité doit tenir compte :
- du risque d’atteinte à la vie privée de la personne concernée :
Le risque se définit entre autres par le degré de sensibilité des données traitées ainsi que de la sévérité et la probabilité d'impact sur les droits et libertés des personnes concernées (impacts corporels, matériels, moraux...). Par exemple, la gestion des membres d'une ASBL nécessite un degré de sécurité moins élevé que la gestion d'un dossier médical par un médecin.
- De l'état de l'art:
L'infrastructure informatique doit tenir compte de l'évolution technologique (p.ex. en ce qui concerne les failles de sécurité découvertes ou les mises à jour de logiciels anti-virus) ainsi que de l'évolution juridique (ex: vote de nouvelles lois dans le domaine de la sécurité ou de la protection des données).
- Les coûts liés à la mise en œuvre des mesures de sécurité:
Les coûts se définissent entre autres en fonction du degré de sensibilité des données traitées.
La Commission nationale pour la protection des données
Depuis le 25 mai 2018, il n'est plus nécessaire pour le responsable du traitement de déclarer ses traitements de données auprès de la Commission nationale.
En revanche sur demande de cette dernière, le responsable du traitement doit pouvoir décrire les mesures de sécurité qu'il a mises en œuvre à l’égard des traitements de données qu’il effectue (art. 30 paragraphe 1er lettre g) du RGPD – registre des activités de traitement).
De plus, lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel (article 35 RGPD).
De plus, dans le cas où l’analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé et que le responsable du traitement n’arrive pas à prendre des mesures pour atténuer le risque, ce dernier est tenu de consulter préalablement au traitement la Commission nationale (article 36 RGPD).