La protection des données des utilisateurs n'est pas seulement un élément de bonne gouvernance des données : c'est une obligation légale en vertu du GDPR. Les violations de données peuvent coûter une amende aux entreprises et nuire à leur réputation. Il est donc essentiel pour les entreprises de traiter les données de manière sécurisée et confidentielle.
Bien entendu, il n'existe pas de solution universelle pour garantir la sécurité des données, car les opérations de traitement varient considérablement d'une organisation à l'autre. Toutefois, certaines lignes directrices fondamentales s'appliquent à tous les scénarios. Nous allons considérer les mesures de sécurité technique comme allant de soi (nous espérons que vous utilisez des mécanismes d'authentification sécurisés, que vous chiffrez les données, etc.) et nous concentrer sur ce qui peut être fait du point de vue de la gouvernance des données.
- Connaissez vos flux de données
- Connaître ses sous-traitants
- Adopter une politique d'accès responsable
- Soyez prudent avec les transferts de données
- Formez votre personnel
- Tenir compte des erreurs humaines
- Adopter une politique raisonnable de vérification du DSAR
- Mettez en place une politique de reprise après sinistre pour vos données
- Traiter moins de données
- Réflexions finales
Entrons dans le vif du sujet
Connaissez vos flux de données
Le point de départ de la protection des données des utilisateurs est une bonne gouvernance des données, qui exige de savoir ce que l'on fait avec les données. Cela peut sembler trivial, mais ce n'est pas le cas. Les flux de données sont souvent plus complexes qu'il n'y paraît à première vue : il est facile de se concentrer uniquement sur les données qui vous intéressent et de négliger d'autres catégories de données qui sont également traitées en même temps que les données "principales".
Par exemple, supposons que le service juridique d'une entreprise stocke dans son système d'archivage des copies des contrats physiques conclus avec les clients. Cette opération est plus complexe qu'il n'y paraît. Des identifiants d'accès au système d'archivage sont nécessaires et un administrateur système devra gérer les privilèges d'accès. En outre, l'entreprise voudra certainement contrôler l'accès aux données, ce qui signifie que le système d'archivage doit générer et stocker des métadonnées pour chaque utilisateur. Si l'on se concentre trop sur les CV, il est facile de perdre de vue la situation dans son ensemble.
Flux de protection des données
Les choses risquent d'être plus compliquées dans la réalité : d'autres membres du personnel peuvent bénéficier de privilèges d'accès différents, le personnel informatique peut avoir besoin d'accéder au système pour faire son travail, des sous-traitants tiers peuvent être impliqués, etc. Il n'est pas simple de tenir compte de toutes ces variables, surtout lorsqu'il s'agit d'architectures de données complexes.
La cartographie des flux de données présente de nombreux avantages. Une carte précise et complète
- met en évidence les problèmes d'accès et de sécurité que vous pouvez résoudre
- met en évidence les possibilités de rendre votre architecture de données plus efficace
- aide à mettre en œuvre de nouveaux flux de données de manière cohérente au sein de l'architecture existante
- permet de s'assurer que votre politique d'accès reflète la manière dont les données sont réellement traitées
- facilite la tenue d'un registre de vos activités de traitement (une exigence pour certaines entreprises en vertu du GDPR1)
- vous aide à vous conformer aux demandes d'accès et d'effacement, car vous savez quelles données vous contrôlez et où les trouver dans vos systèmes.
La cartographie des flux de données peut s'avérer compliquée pour les grandes entreprises où différentes équipes traitent les données. Parmi les autres catégories de données à caractère personnel figurent les données relatives aux clients, les données d'analyse du web, les données relatives aux employés, les informations relatives aux paiements, etc. L'architecture des données d'une entreprise devient également de plus en plus complexe au fil du temps, de sorte que plus la cartographie est tardive, plus elle est difficile à réaliser. Idéalement, les cartes devraient être élaborées dès le départ et mises à jour régulièrement.
Le cas de Meta est assez instructif. Les poursuites engagées contre l'entreprise ont révélé que personne chez Meta ne sait exactement comment les données sont traitées. Facebook existe depuis près de vingt ans, mais Meta n'a tenté (et échoué) de cartographier ses flux de données que l'année dernière, à la suite d'une décision de justice. L'architecture des données de Meta est si incroyablement complexe qu'il est pratiquement impossible de la cartographier à partir de zéro.
Connaître ses sous-traitants
De nombreuses entreprises font appel à un tiers pour traiter les données d'une manière ou d'une autre, qu'il s'agisse de stockage dans le nuage, d'une plateforme en tant que service, d'un fournisseur de services de messagerie électronique ou d'un sous-traitant chargé de la maintenance informatique.
En vertu du GDPR, ces parties sont des processeurs de données et doivent signer un accord de traitement des données (DPA) avec vous. N'oubliez pas que vous pouvez être tenu responsable de tout dommage que votre sous-traitant pourrait causer en violant le GDPR2 - y compris les violations qu'il pourrait subir !
Veillez à ne faire appel qu'à des sous-traitants de confiance, dotés d'une bonne gouvernance des données et de politiques de divulgation strictes. Il en va de même pour tout sous-traitant secondaire impliqué (c'est-à-dire tout sous-traitant travaillant pour votre sous-traitant). Dans la mesure du possible, il convient de privilégier le traitement en interne pour certaines catégories de données (par exemple, les secrets commerciaux et les données personnelles sensibles telles que les informations médicales).
Adopter une politique d'accès responsable
En règle générale, plus il y a de personnes qui peuvent accéder aux données, plus il y a de risques de problèmes. Le contrôle d'accès basé sur les rôles garantit que les données ne sont accessibles qu'au personnel qui en a réellement besoin. Cela est particulièrement important pour les grandes entreprises à la structure complexe : Les RH ont besoin de données sur les congés de maladie des employés, alors que la direction et le marketing n'en ont pas besoin.
Soyez prudent avec les transferts de données
Le GDPR vous permet de transférer vos données en dehors de l'UE/EEE. Toutefois, certains transferts sont plus compliqués que d'autres. Les transferts vers des pays faisant l'objet d'une décision d'adéquation sont simples et n'entraînent aucune charge de conformité, même si vous devrez toujours vous assurer qu'un sous-traitant fiable reçoit les données.
Les choses se compliquent lorsque vous ne pouvez pas vous appuyer sur une décision d'adéquation. Nous n'allons pas discuter en détail des transferts de données, mais en résumé, les transferts en dehors de l'UE/EEE s'accompagnent de certaines obligations de conformité (telles que les clauses contractuelles types). Ces charges ne doivent pas être abordées comme un exercice de forme : il est de votre devoir, en tant que responsable du traitement des données, de veiller à ce que le mécanisme de transfert que vous utilisez, quel qu'il soit, offre une protection suffisante dans la pratique. Cela peut s'avérer problématique dans les pays qui autorisent une surveillance généralisée, comme les États-Unis. C'est la question centrale des problèmes que Google Analytics rencontre actuellement avec les transferts de données et le GDPR.
Si vous êtes curieux, vous pouvez consulter notre blog pour en savoir plus sur la saga Google Analytics et les transferts de données en général.
Formez votre personnel
Si certaines fuites de données sont la conséquence d'attaques de piratage sophistiquées, beaucoup sont perpétrées par hameçonnage, et d'autres encore sont le résultat d'erreurs humaines. Investir dans la sécurité technique est une évidence pour préserver la sécurité des données, mais la formation du personnel est tout aussi importante. Il n'est pas nécessaire de transformer chaque employé en avocat spécialisé dans la protection de la vie privée, mais les membres du personnel qui traitent des données personnelles doivent savoir quand ils doivent ou ne doivent pas les divulguer. Et surtout, ils doivent pouvoir s'adresser à un membre du personnel qualifié en cas de doute sur la marche à suivre.
Tenir compte des erreurs humaines
Les gens font des erreurs. Vous devez en tenir compte et organiser le traitement des données de manière à minimiser le risque d'erreur humaine. Posez-vous la question suivante : quelles sont les erreurs les plus susceptibles de se produire dans mon entreprise ? Y a-t-il un moyen de prévenir ces erreurs ?
Par exemple : un hôpital italien a récemment été condamné à une amende pour avoir divulgué les adresses électroniques de centaines de patients en neurologie. Comment cela s'est-il produit ? Un employé a accidentellement inclus les courriels des patients dans le champ CC au lieu de BCC lors du transfert d'une lettre d'information (oups !). Ce type d'erreur n'est pas improbable lorsque les employés envoient des dizaines de courriels par jour. La violation de données aurait pu être évitée en paramétrant le client de messagerie pour qu'il utilise BCC par défaut et en exigeant une étape supplémentaire (telle que la confirmation de l'utilisateur) pour l'utilisation de CC.
Adopter une politique raisonnable de vérification du DSAR
En vertu du GDPR, une personne concernée peut demander au responsable du traitement des données de fournir certaines informations sur le traitement de ses données et de fournir une copie des données elles-mêmes3. Ces demandes sont généralement appelées "demandes d'accès de la personne concernée" (DSAR). Les demandeurs insatisfaits déposent parfois une plainte auprès d'une autorité de protection des données, d'où l'importance d'un traitement rapide et adéquat des demandes d'accès des personnes concernées.
Toutefois, les entreprises doivent savoir que les DSAR peuvent être utilisés de manière abusive pour accéder illégalement aux données d'autrui. En d'autres termes, les faux rapports d'activité sont un outil d'hameçonnage - et un outil très efficace ! Si vous tombez dans le piège d'un faux RMAD, vous subirez une violation de données, et vous devez donc vous assurer que les demandes ne proviennent pas d'un usurpateur.
Dans le même temps, les entreprises doivent traiter les demandes dans un délai imparti4 tout en facilitant l'exercice des droits du demandeur5. La conciliation de toutes ces obligations n'est pas simple et il n'existe pas de solution unique. Chaque entreprise doit trouver un juste milieu en fonction de sa situation spécifique et de la nature des données qu'elle traite. Mais en règle générale, il convient d'opter pour la vérification la moins contraignante et la moins invasive qui soit suffisamment fiable dans votre cas6. Par exemple, si vous recevez un rapport d'activité de quelqu'un qui prétend être un utilisateur enregistré de votre site web ou de votre entreprise, vous pouvez lui demander de transmettre la demande à partir de l'adresse électronique avec laquelle il s'est enregistré. Vous pouvez également inclure un bouton permettant de transmettre un RMORCD dans l'espace personnel de l'utilisateur sur votre site web (Instagram le fait, par exemple). Dans l'idéal, vous ne devriez demander une pièce d'identité ou d'autres informations personnelles qu'en dernier recours.
Mettez en place une politique de reprise après sinistre pour vos données
Lorsque l'on parle de violation de données, on pense généralement à des fuites de données, c'est-à-dire à des situations où des données personnelles sont consultées ou copiées par une partie non autorisée. Toutefois, la perte de données peut également être considérée comme une violation de données au sens du GDPR7. Cela signifie que toute politique de sécurité des données doit inclure un plan de reprise après sinistre pour vos données. Idéalement, une organisation dispose d'une sauvegarde, qu'il s'agisse d'une sauvegarde physique ou d'un service de reprise après sinistre basé sur l'informatique en nuage.
Traiter moins de données
Il va sans dire que plus vous traitez de données, plus il y a de risques de problèmes. Outre les coûts d'exploitation et de maintenance de vos systèmes de traitement des données, le traitement des données a des coûts inhérents en termes de charges et de risques de conformité, et plus vos opérations de traitement sont compliquées, plus ces coûts sont élevés. Vous devez toujours vous poser la question suivante : ai-je vraiment besoin de ces données ou les recueille-je simplement parce que tout le monde dans mon secteur le fait ?
Parfois, la meilleure solution consiste à utiliser moins de données. Il y a beaucoup à dire sur la valeur qu'un état d'esprit de minimisation des données peut apporter à votre entreprise - et nous avons écrit à ce sujet ici.
Il va sans dire que votre entreprise doit également adhérer à une politique raisonnable de conservation des données et effacer les données dont elle n'a plus besoin. C'est à la fois une obligation légale en vertu du GDPR8 et une bonne pratique pour la sécurité des données - toutes les données que vous n'avez pas sont des données que vous ne pouvez pas divulguer.
Réflexions finales
Une bonne gouvernance des données et un état d'esprit respectueux de la vie privée peuvent apporter de la valeur à votre entreprise, et s'appuyer sur des outils respectueux de la vie privée est un bon début. C'est également l'un des piliers sur lesquels repose Simple Analytics. Nous pensons que vous pouvez recueillir des informations sur les visiteurs de votre site web sans avoir besoin d'aucune donnée personnelle. Cela vous permet d'obtenir les informations dont vous avez besoin, tout en étant 100% conforme au GDPR. Nous croyons en un internet indépendant et convivial pour les visiteurs de sites web. Si vous vous sentez concerné, n'hésitez pas à nous essayer!
1 : Art. 30 GDPR 2 : Art. 82(2) GDPR. Le responsable du traitement est exonéré de toute responsabilité lorsqu'il n'a pas causé le dommage (article 82, paragraphe 3), mais il supporte la charge de la preuve, ce qui est très risqué dans la pratique 3 : Art. 15 DU GDPR 4 : Art. 12(3) DU RGPD 5 : Art. 12, PARAGRAPHE 2, DU RGPD 6 : C'est également la recommandation de l'EDPB : voir les lignes directrices 01/2022 sur les droits des personnes concernées - Droit d'accès, par. 65. 7 : Art. 4(12) DU RGPD 8 : Art. 5(1)(e) GDPR.