6. Sécurité des données personnelles
6.1. Gouvernance de la sécurité
- Définir des rôles et responsabilités clairs,
- Désigner un référent sécurité ou DPO,
- Élaborer une politique de sécurité validée par la direction.
6.2. Mesures techniques
Cloisonnement
- Isoler les environnements (test, prod),
- Séparer les accès selon les profils.
Journalisation
- Enregistrer les accès et actions critiques,
- Surveiller les anomalies.
Chiffrement
- Chiffrer les supports mobiles, sauvegardes et données sensibles,
- Gérer les clés de manière sécurisée.
Sauvegardes
- Réaliser des sauvegardes régulières,
- Tester la restauration.
6.3. Mesures organisationnelles
Gestion des habilitations
- Accès strictement nécessaires,
- Révocation à la sortie du personnel.
Sensibilisation
- Former les utilisateurs aux bons réflexes,
- Mettre à jour régulièrement les consignes.
6.4. Continuité d’activité
- Mettre en place un PRA/PCA,
- Identifier les traitements critiques,
- Anticiper les indisponibilités.
6.5. Mises à jour et correctifs
- Planifier les mises à jour des logiciels et systèmes,
- Suivre les vulnérabilités connues.
6.6. Audit et tests
- Réaliser des audits périodiques,
- Mettre en place des tests d’intrusion ou simulations.
6.7. Approche par les risques
Info
Informations générales
Le niveau de sécurité doit être adapté aux risques spécifiques liés aux données traitées.
- Identification des menaces,
- Analyse d’impact,
- Réduction du risque résiduel.
6.8. Synthèse CNIL
Example
Exemple concret / démonstration
Guide CNIL 2023 — Bonnes pratiques de sécurité, applicable à toutes tailles d’organisations.