Le RGPD et la sécurité des données

Comme chacun le sait, toutes les entreprises, en particulier celles qui traitent des données sensibles, doivent appliquer le nouveau règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.  Le secteur social et médico-social n’échappe pas à cette obligation, bien au contraire.

La sécurisation des données  personnelles collectées est un élément central de sa mise œuvre. La CNIL a été amenée à réaffirmer cette obligation au travers d’une sanction prononcée récemment.

RGPD – La sécurité motif de sanction :

Lors de la Délibération du 7 mai 2018, la CNIL a prononcé une sanction pécuniaire d’un montant de 250.000 euros à l’encontre de la société OPTICAL CENTER, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Cette décision a été prise « Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident » selon la CNIL article du 7 juin 2018.

Comme la loi Informatique et Liberté, le RGPD impose au responsable du traitement de veiller à la sécurité des données

RGPD – La sécurité opportunité d’organisation :

Le RGPD est l’occasion de revoir l’organisation de nos systèmes d’informations. En effet les données recueillies dans des fichiers Excel, Word ou autres formats non identifiés, sont très difficiles à recenser et à localiser.

Ces informations non structurées posent des problèmes importants de sécurité et de sauvegarde.

RGPD – Sécuriser vos données :

Pour structurer votre système d’informations, vous devez mettre en place des bases de données centralisées sur un ou plusieurs serveurs clairement identifiés et protégés avec des outils adéquats.

  • Protection de l’accès au serveur de données par une gestion de login et mot de passe ;
  • Sécuriser l’accès aux serveurs par une gestion des connexions distantes avec des technologies comme le VPN (Virtual Private Network) système permettant de créer un lien direct entre des ordinateurs distants, en isolant les informations échangées ou SSL (Secure Socket Layer) permettant l’authentification des échanges réalisés et le chiffrement des informations ;
  • Hébergements spécialisés (Hébergeurs agréés de données de santé…) ;
  • La mise en place d’anti-virus, anti-spam, anti-spyware ;
  • Agent Mail : bloque les pièces jointes malveillantes des emails ;
  • Agent Web : protection du navigateur contre les sites Web et les téléchargements dangereux ;
  • Software Updater : outils de gestion de mises à jour des logiciels ;
  • Outils de surveillance des réseaux Wi-Fi ;
  • Anti-spam ;
  • Pare-Feu…

La mise en place de ces outils nécessite, la plupart du temps, l’expertise d’un professionnel qui les sélectionnera et les adaptera à la configuration de votre système informatique.

Il est donc nécessaire de mettre en place tous les moyens à votre disposition pour sécuriser les données personnelles collectées et rester dans une démarche d’amélioration permanente.

Bien évidemment, ces mesures n’excluent pas la formation et la sensibilisation des personnels aux traitements des données personnelles.