Ressources
Cyber
Cyber
RGPD et cyber-sécurité : Comment me protéger ?

RGPD et cyber-sécurité : Comment me protéger ?

Date : 
3
November
2020
Durée : 
5
 min
Écrit le 
3
November
2020
 -  
Mis à jour le 
9
November
2022
Temps de lecture : 
5
 minute
 minutes
rgpd
Par 
Valentin Vieux
Par 
Valentin Vieux
En Bref

Fraîchement diplômé de l’ESCP Business School, Valentin a toujours eu une grande affinité pour les mots et la littérature, autant que pour la musique. Responsable de la marque chez Formalizi, il vous donnera la dose de fraîcheur entrepreneuriale dont vous avez besoin au quotidien !

Du fait de l'omniprésence d'internet dans nos vies, nous diffusons toujours davantage de données personnelles sur le net qui peuvent s'avérer vulnérables et à la merci de virus ou de pirates informatiques. Pour les entreprises, les conséquences d'une fuite de données ou d'une attaque informatique peuvent être désastreuses : coût important pour reconstruire le système, dégradation de l'image de l'entreprise, perte de confiance des clients...

Dans un objectif de sécurisation des données détenues par les entreprises dans l'Union européenne, le règlement général sur la protection des données (RGPD) met certaines obligations à la charge des entreprises. Il est donc de première importance que chaque entreprise comprenne quelles sont ses obligations en matière de cyber-sécurité et de protection des données. Les entreprises non conformes aux préconisations du RGPD pourront être sanctionnées par les autorités de régulation et seront d'autant plus vulnérables aux possibles attaques informatiques.

Nous vous expliquons aujourd’hui l'essentiel à savoir sur ce qu'impose le RGPD aux entreprises dans le domaine de la cyber-sécurité.

Les obligations imposées par le RGPD en termes de cyber-sécurité

Le RGPD consacre toute une section à la protection des données à caractère personnel que peuvent collecter les entreprises au cours de leur activité.

L'article 32 du règlement instaure ainsi une obligation de sécurité dans le traitement de ces données. Toute entreprise qui collecte des données à caractère personnel doit mettre en oeuvre des mesures techniques propres à assurer les objectifs suivants :

  • Empêcher les accès non autorisés (confidentialité);
  • Empêcher les modifications non autorisés (intégrité);
  • Empêcher la disparition de données (disponibilité).

<div class="article-highlight_component"><div class="article-highlight_emoji"></div><p>À savoir : une donnée est à caractère personnel dès lors qu'elle est relative à une personne physique et qu'elle permet son identification, directement ou indirectement (nom, numéro d'identification, données de localisation, identifiant en ligne, éléments spécifiques propres à son identité physique, physiologique, économique, culturelle, sociale...).</p></div>

En France, la Commission nationale de l'informatique et des libertés (CNIL) peut procéder à des contrôles et peut délivrer des amendes aux entreprises donc le système de protection est insuffisamment développé. C'est pourquoi il importe de vérifier que votre entreprise dispose de solutions techniques pour apporter une protection suffisante.

Le RGPD liste trois modes principaux de protection pour s'assurer de la confidentialité, de l'intégrité et de la disponibilité des données à caractère personnel que peuvent instaurer les entreprises : l'anonymisation, la pseudonymisation et le chiffrement (voir ci-après).

Il revient aux entreprises de décider elles-mêmes le mode de protection qu'elle juge le plus approprié à leur activité et aux types de données qu'elles collectent.

Il est possible de faire appel à des prestataires de services spécialisés dans les services d'anonymisation ou de chiffrement, mais la protection des données peut aussi se faire de manière interne à l'entreprise.

À savoir : le RPGD met de nombreuses autres obligations à la charge des entreprises que la prévention des risques de cyber-sécurité. Cliquez-ici pour comprendre comment mettre facilement votre entreprise en conformité avec le RGPD.

L'anonymisation des données

L'anonymisation est une technique qui permet de supprimer toute possibilité d'identification de la personne qui aura partagé ses données avec l'entreprise. L'avantage de cette technique est qu'elle offre un niveau de protection maximal et que les données peuvent être réutilisées car, une fois anonymisées, il n'y a plus de risque de porter atteinte à la vie privée des personnes concernées.

Différentes techniques permettent d'effectuer une anonymisation :

  • la randomisation : rendre les données moins précises tout en conservant la répartition globale (permuter les dates de naissance des individus entre eux pour altérer la véracité des informations);
  • la généralisation : modifier l'échelle des données pour les rendre moins précises (pour des données relatives à la date de naissance, ne garder que l'année de naissance des individus).

Une donnée est anonymisée correctement lorsque les trois critères suivants sont remplis :

  • Un individu ne peut être individualisé dans le lot de données (individualisation) ;
  • On ne peut relier différentes données à un même individu (corrélation) ;
  • On ne peut déduire de nouvelles informations à partir des données existantes (inférence).

Toutefois, l'anonymisation pourra souvent limiter le traitement des données par l'entreprise en raison de la perte de l'information originale. C'est pourquoi une entreprise peut plutôt opter pour la pseudonymisation.

<div class="article-highlight_component is-cta"><div class="article-highlight_emoji is_cta"></div><p><strong class="bold-text">Besoin de couvrir vos risques cyber ?</strong></p><p>>> On a justement une couverture dédiée (et pas trop cher).</p></div>

La pseudonymisation des données

A la différence de l'anonymisation, la pseudonymisation se veut un mécanisme de protection réversible. Il s'agit de remplacer une donnée à caractère personnelle par une autre donnée, appelée pseudonyme, empêchant toute identification sans avoir recours à une clé d'identification.

En pratique, il s'agit de remplacer par exemple le nom et le prénom sous lequel s'enregistre un client par des données qui ne permettent pas une identification directe (alias, numéro...).

Afin de garder l'utilité des données à caractère personnelles, il est possible de créer une table de correspondance qui permet de relier chaque donnée originale à son pseudonyme. La table de correspondance devra bien évidemment être très sécurisée car la fuite de ses informations permettrait l'identification de toutes les personnes à partir des pseudonymes. C'est pourquoi elle devra être stockée dans un serveur sécurisé.

Le chiffrement des données

Le chiffrement repose sur un procédé d'encodage qui permet de rendre illisible les données chiffrées sans une clé de déchiffrement. Les données stockées sur un serveur partagé ou sur du matériel (ordinateur, smartphone) sont alors protégées de tout risque d'atteinte ou de détournement.

Le chiffrement peut se faire relativement facilement pour des petites quantités de fichiers. Des logiciels gratuits existent pour crypter un document et générer une clé de déchiffrement. Il ne reste plus ensuite qu'à transférer par un canal le document, par mail par exemple, et la clé de déchiffrement par un autre canal, par sms.

En cas de compromission d'un des canaux, la sécurité des données restent assurée car le hacker n'aura pas accès à la fois au document et à la clé.

À savoir : lorsqu'il s'agit de chiffrer un grand volume de données, les données peuvent être stockées directement dans un répertoire chiffré. Là-encore, des logiciels gratuits existent pour limiter les coûts.

L'obligation de déclaration des atteintes aux données personnelles

Le RGPD oblige toute entreprise qui constate qu'une atteinte à des données à caractère personnel a eu lieu à le déclarer à la CNIL sous les 72 heures suivant la découverte de l'atteinte.

La déclaration doit mentionner la nature de l'atteinte, le nombre de données concernées, une évaluation des conséquences probables de l'atteinte, ainsi que les mesures prises pour remédier à cette atteinte.

Par ailleurs, le RGPD oblige aussi à notifier la personne dont les données ont été violées lorsqu'il y a un risque élevé pour sa vie privée. La notification n'est toutefois pas obligatoire lorsque des mesures ont été prises pour s'assurer qu'aucun usage néfaste ne pourra viser la personne en question.

La souscription d'une assurance cyber-sécurité

La mise en place de technique de protection des données est de première importance pour éviter toute conséquence fâcheuse pour l'entreprise (piratage, sanction de la CNIL).

Toutefois, étant donné le développement de la cyber-criminalité et l'ingéniosité de certains pirates informatiques, certaines protections pourraient s'avérer insuffisante.

La souscription d'une assurance cyber-criminalité peut permettre la prise en charge de frais potentiellement très onéreux (reconstitution des données, remise en état d'un site internet, frais d'expertise) en cas d'attaque.

L'Assurtech Stello propose une assurance personnalisée aux petites entreprises et indépendants pour couvrir au mieux leurs risque à des frais ultra-compétitifs.

Vous l’aurez compris, il est aujourd’hui indispensable pour une entreprise de se pencher sur la question de la gestion des données personnelles de ses utilisateurs et clients !

Signaler une erreur
À propos de L’AUTEUR
Valentin Vieux

À découvrir ensuite

Ces contenus pourraient vous intéresser !

Freelance Tech : pourquoi souscrire une assurance cybersécurité ?

Souscrivez une assurance cybersécurité en tant que freelance Tech pour vous protéger contre les cyberattaques. Les attaques informatiques touchent non seulement les grandes entreprises, mais aussi les professionnels indépendants.

Qui prévenir en cas de piratage ?

Le piratage est une question qui revient beaucoup depuis quelques années et cette tendance s'est accélérée avec la crise sanitaire.

Les 6 types de cyberattaques en entreprise

57% des entreprises françaises déclarent avoir été victimes d'une cyberattaque. Plus de la moitié déclare que ces attaques ont impacté leur business.

Se protéger de la cyberattaque avec une checklist ! [PDF à télécharger]

Appliquez dès aujourd'hui ces quelques astuces grâce à la checklist téléchargeable en fin d'article !

RGPD et cyber-sécurité : Comment me protéger ?

Dans un objectif de sécurisation des données, le règlement général sur la protection des données (RGPD) met certaines obligations à la charge des entreprises.
Lun-ven 9h-19h
01 86 47 59 61
21, rue de Madrid, 75008 Paris
Espace assuré
Nous suivre
À propos
Notre histoireAvis ClientsNos partenairesPresse
Contact
Nous contacterDevenir partenaireAideNous rejoindre
Nos assurances
Responsabilité CivileProtection JuridiqueMultirisque ProfessionnelleAssurance Cyber-risquesMatériel InformatiqueBureau Local et ProfessionnelGarantie DécennaleMutuelle DirigeantPrévoyance DirigeantMutuelle EntrepriseMutuelle CollectivePrévoyance Collective
Nos ressources
ArticlesFAQWebinairesOutils
© 2023 Stello. Tous droits réservés.
Conditions générales d’utilisationCharte de confidentialitéMentions légalesRéclamations