Préparation au traitement des données personnelles 30 minutes
Le traitement des données personnelles constitue un véritable projet qui se doit de démarrer par une phase d’étude et la mise en place d’une organisation, de processus et d’outils adaptés au contexte.
Les obligations
- Le traitement doit être licite, loyal et transparent à l’égard des personnes concernées.
- L’entité responsable du traitement a pour devoir de protéger (l’intégrité et la confidentialité des données)
- Le resposanble de traitement est en mesure de démontrer que les principes de traitement (RGPD article 5-1) sont respectés
- Le resposanble de traitement est en mesure de démontrer le consentement des personnes concernées
- Permettre le retrait du consentement (aussi simplement) mais celui-ci n’est pas rétroactif
- Le consentement doit être indépendant si le traitement n’est pas lié à l’exécution d’un contrat signé
- Informer sur les fuites
La gestion des risques
Le responsable de traitement est tenu de faire l’analyse des risques associé au traitement à mettre en oeuvre et est invité à demander conseil auprès du DPO et des personnes concernées.
Il s’agit d’identifier les impacts potentiels de l’atteinte à la sécurité des données. Les principales catégories d’impacts sont :
- L’accès illégitime aux données
- La modification (accidentelle) des données
- La perte (suppression) des données
Pour chaque impact il s’agira d’évaluer :
- Les conséquences
- Les moyens de menace
- Les sources possibles (qui ?)
- Les mesures de couverture envisageables
- La gravité (criticité)
- La vraisemblance (probabilité)
Couvrir les risques consiste à réduire la probabilité ou la criticité de la survenue de l’impact en appliquant des mesures préventives telles que :
- Le chiffrement des données
- L’archivage (sécurisé)
- La journalisation (pour détecter ou comprendre)
- L’anonymisation
- Le cloisonnement
- Le contrôle des accès logiques
La CNIL propose des guides et un logiciel (PIA) pour supporter l’analyse de risque