À l'heure du numérique, la sécurisation des données personnelles collectées auprès de leurs clients et partenaires est un enjeu capital pour les entreprises.
Plus votre entreprise est sécurisée, plus vos clients ont confiance en elle. C'est pourquoi vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité de leurs données.
Les mesures à prendre pour atteindre cet objectif dépendent de différents facteurs, parmi lesquels :
- les coûts de mise en œuvre ;
- les finalités du traitement effectué ;
- la sensibilité des données traitées ;
- les risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques.
Après analyse de ces facteurs, vous devez, en tant que responsable du traitement, prendre des mesures techniques et organisationnelles appropriées dont la finalité est de garantir un niveau de sécurité adapté. Selon les besoins, doivent également être mis en place (1) :
- la pseudonymisation (= remplacer des données directement identifiables par des données indirectement identifiables) et le chiffrement des données à caractère personnel ;
- des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Certains réflexes peuvent par exemple être adoptés, comme la mise à jour des antivirus et logiciels, le changement régulier de mots de passe, etc.
Lors de l'évaluation du niveau de sécurité de l'entreprise, il convient de tenir compte des risques que présente le traitement de données comme la destruction, la perte, l'altération ou la divulgation non autorisée de données à caractère personnel.
Pour garantir le respect du RGPD et faciliter la tâche des entreprises contraintes de se mettre en conformité avec lui, le règlement lui-même recommande aux États membres de mettre en place un code de conduite (= guide de bonnes pratiques répondant aux exigences du RGPD) (2) ou un mécanisme de certification (= permet de démontrer que tel produit ou tel service est bien conforme aux exigences du RGPD) (3).
Dans cette optique, la Loi Informatique et Liberté permet à la CNIL d'adopter des référentiels de certification, et d'agréer les organismes en charge de délivrer cette certification.
La CNIL a également élaboré un référentiel d'application du RGPD aux fins de gestion du personnel, à destination des entreprises (recrutement, organisation du travail, communication interne, etc.) (4), ou encore aux fins de gestion des activités commerciales (gestion des contrats, des programmes de fidélité, réalisation d'actions de prospection commerciale, etc.) (5). Ces documents permettent au chef d'entreprise d'y voir plus clair dans le respect de la réglementation.
Ce que pensent nos clients :
EVELYNE R.
le 28-11-2024
Ras
Miguel R.
le 19-07-2024
De très bon conseil
Francis M.
le 28-01-2020
Rapidité, document bien rédigé (rgpd)
PIERRE P.
le 24-01-2020
Rapidité