Comment travailler en toute sécurité avec les données personnelles

Nous vous expliquons comment stocker et traiter les données à caractère personnel au sein de votre entreprise tout en évitant les risques.

Les gouvernements de nombreux pays durcissent les lois qui règlementent l’utilisation des données personnelles. D’autre part, chaque année il y a de plus en plus de fuites de données. Il y a dix ans, les pertes financières les plus importantes d’une entreprise étaient dues aux poursuites judiciaires et aux dégâts causés en termes de réputation. De nos jours, ce sont les amendes imposées par les régulateurs à cause d’un incident lié à la perte de données qui peuvent représenter une part significative des dommages subis. Nous avons donc décidé de vous donner quelques conseils pour vous aider à mettre en place des processus sécurisés de collecte, stockage et échange des données à caractère personnel (DCP) au sein de votre entreprise.

 

La collecte des données personnelles

Le point le plus important : ne recueillez des données que si vous avez les fondements juridiques suffisants. La collecte des données peut être formellement encadrée par les lois du pays au sein duquel vos opérez. Vous avez peut-être besoin d’un contrat dont les termes permettent clairement le traitement des DCP ou du consentement écrit du sujet, sur papier ou via un formulaire en ligne. D’autre part :

  • Conservez une preuve de l’obtention du consentement pour le traitement et le stockage de DCP en cas de poursuites judiciaires ou d’inspections réglementaires.
  • Ne recueillez pas les données inutiles pour vos processus de travail. Les données ne peuvent pas être recueillies « au cas où ».
  • Si vous recueillez des données dont vous n’avez pas besoin par erreur ou à cause d’un malentendu, supprimez-les immédiatement.

 

Le stockage des données personnelles

Si vous recueillez des données personnelles, il est essentiel de savoir où elles sont stockées, qui y a accès et comment elles sont traitées. Pour ce faire, il vous faudra peut-être créer une sorte de « carte » qui enregistre tous les processus liés aux DCP. Ensuite, il est judicieux d’élaborer des règles strictes pour le stockage et le traitement des données, sans oublier de constamment surveiller la mise en place de ces deux éléments. Nous vous conseillons également de :

  • Stocker les DCP uniquement sur un dispositif auquel les personnes extérieures n’ont pas accès ;
  • Limiter l’accès aux DCP à un nombre minimum d’employés. Les personnes qui en ont vraiment besoin dans le cadre de leur travail devraient être les seules à y avoir accès ;
  • Supprimer rapidement les données personnelles qui ne sont plus nécessaires aux processus de travail ;
  • Conserver les documents papier dans un endroit sûr si votre processus de travail l’exige (par exemple dans des coffres-forts qui se verrouillent) ;
  • Détruire les documents papier dont vous n’avez plus besoin à l’aide d’un broyeur ;
  • Anonymiser les données si vous n’en avez pas besoin. Vous pouvez supprimer les identifiants uniques pour qu’en cas de fuite il soit impossible d’identifier le sujet ;
  • Anonymiser les données à l’aide d’un pseudonyme si votre processus de travail ne vous permet pas d’anonymiser les données. Il s’agit de convertir les DCP en une chaîne unique pour que l’identification du sujet soit impossible sans avoir des informations supplémentaires ;
  • Éviter le stockage des DCP sur les dispositifs professionnels et les disques durs externes ou les clés USB, qui peuvent être volés, perdus ou en danger si un cybercriminel a accès au dispositif ;
  • Ne pas stocker ou traiter de vraies DCP dans une infrastructure de test ;
  • Ne pas utiliser de nouveaux services pour le stockage et le traitement des données tant que vous n’êtes pas certain qu’ils répondent aux critères de sécurité de base.

 

L’échange de données personnelles

Tous les processus liés au transfert de données personnelles doivent être enregistrés et validés par le service de sécurité, ou par le responsable de la protection des données, s’il y en a un. Tous les employés qui ont accès aux DCP doivent avoir des instructions claires à propos de la gestion des données au sein de l’entreprise, doivent savoir quels services de l’entreprise ou tiers peuvent être utilisés à ces fins et doivent savoir à qui les données sont transférées. Vous devez également vous assurer que :

  • Les sous-traitants, comme les services d’infogérance ou MSP, n’ont pas accès aux systèmes qui contiennent les DCP avec des droits d’administrateur ;
  • L’accès aux données se limite à une base extraterritoriale. Les données des citoyens d’un pays ne doivent pas être accessibles depuis d’autres pays sauf si l’échange transfrontalier de données n’est pas réglementé ;
  • Le chiffrement est toujours utilisé lorsque vous transférez des DCP. Ce point est particulièrement important lorsque vous envoyez les données par e-mail ;
  • Un accord de traitement de données (DPA) a été signé lorsque vous échangez des données personnelles avec des organisations tierces ;
  • Vous avez légalement le droit d’envoyer les DCP à un tiers. Autrement dit, vous avez clairement obtenu le consentement du sujet, ce point est mentionné dans le contrat ou cette opération est requise par la loi.

 

Évidemment, aucun de ces conseils et aucune loi stricte ne peut éviter une erreur humaine. Ainsi, nous vous conseillons, entre autres, de réaliser régulièrement des formations en cybersécurité. Il convient de choisir des plateformes de formation qui proposent des cours sur la confidentialité et qui expliquent comment travailler avec les données personnelles.

 

Conseils