Mais le RGPD n'est pas aussi clair lorsqu'il définit les mesures techniques et organisationnelles que doit adopter une entreprise. Voici deux raisons possibles pour lesquelles le RGPD n’est pas forcément très clair sur cet aspect :
- Raison n°1 : il existe de nombreuses applications et plates-formes qui permettent de stocker des données personnelles. Définir des politiques à adopter pour chaque plate-forme ou application rendrait le processus d'adoption du RGPD trop compliqué. Par conséquent, le RGPD ne décrit que les politiques générales d'audit et de sécurité que les entreprises doivent adopter.
- Raison n°2 : les menaces de sécurité et les violations des données sont dynamiques. Il n'y a pas de règles strictes et simples qui permettent de prévenir des attaques. Ceci dit, la meilleure chose à faire pour les entreprises est de revoir régulièrement leurs pratiques pour chacune de leurs plates-formes qui traitent des données personnelles. Resteindre l'adoption des meilleures pratiques à des applications ou plate-formes spécifiques laisserait la porte ouverte à des failles de sécurité.
Que signifie « mesures techniques et organisationnelles appropriées » ?
Vous pouvez stocker des données personnelles dans une base de données, telles que MS SQL ou Oracle Database, un serveur de fichiers ou même dans un environnement cloud. Peu importe où vous stockez les données, assurez-vous que les mesures suivantes sont prises pour assurer la sécurité des données.
Contrôler les accès aux données personnelles : Concevez des contrôles d'accès appropriés et restreignez l'accès aux données personnelles. Accordez l'accès à la gestion des données personnelles uniquement aux utilisateurs privilégiés.
Vérifier le comportement des utilisateurs : surveillez les utilisateurs qui :
- accèdent à la plate-forme de stockage des données personnelles de votre organisation (qu'il s'agisse d'un serveur, d'une base de données ou d'une application classique).
- modifient les données personnelles (par exemple, qui suppriment ou renomment des fichiers).
- effectuent des modifications d'accès, des modifications d'autorisation et des escalades de privilèges concernant l'accès aux données personnelles.
Obtenir des informations en temps réel : assurez-vous d'avoir un système qui vous informe en temps réel de toute activité anormale ou suspecte telle que la suppression des données personnelles.
Toujours avoir un plan B : assurez-vous d’effectuer des sauvegardes de vos données. De cette façon, vous pouvez restaurer les données personnelles en cas de perte de données. Notez que vous devez obtenir le consentement des utilisateurs avant de pouvoir sauvegarder leurs données personnelles. Vous devez également veiller à ce que vos sauvegardes soient protégées.
Continuez à suivre nos publications sur le blog car nous discuterons dans un prochain article de l’exigence du RGPD qui fait le plus débat et des notifications à effectuer suite à une violation de données personnelles.