Procédures pour protéger les données

Introduction

La protection des données personnelles repose sur des procédures adaptées qui garantissent …​

…​

leur sécurité, leur confidentialité, et leur conformité (RGPD).

Les règles définissent le quoi — les procédures définissent le comment.

1. Politique de protection

Établir une politique claire

Définir les règles et pratiques :

  • Quelles données sont collectées ?

  • Pourquoi sont-elles collectées ?

  • Qui y a accès ?

  • Comment sont-elles protégées ?

  • Combien de temps les conserver ?

Nommer un DPO

Obligatoire pour : autorités publiques, surveillance à grande échelle, données sensibles à grande échelle.

  • Supervision conformité

  • Formation du personnel

  • Liaison avec la CNIL

2. Collecte & gestion

Principes fondamentaux

  • Consentement clair, libre, explicite

  • Minimisation — uniquement le nécessaire

  • Finalité spécifique — pas de réutilisation

Transparence

Politique de confidentialité avec :

  • Finalités du traitement

  • Durées de conservation

  • Droits des utilisateurs (accès, rectification, effacement)

  • Contact pour exercer ses droits

3. Sécurisation des systèmes

Chiffrement

DonnéesSolution

Au repos

AES-256, BitLocker, VeraCrypt

En transit

TLS 1.2/1.3

Email

PGP, S/MIME

Contrôle d’accès

Pare-feu & EDR

4. Mises à jour & audits

Patch management

  • OS, applications, firmware à jour

  • Correctifs de sécurité immédiats

  • Outils : WSUS, Ansible, SCCM

Audits réguliers

  • Vulnérabilités (Nessus, OpenVAS)

  • Tests de pénétration

  • Revues de configuration

Patch tuesday + CVE monitoring = les bases d’une politique de mise à jour saine.

5. Sauvegarde & PRA

Règle 3-2-1

  • 3 copies des données

  • 2 types de supports différents

  • 1 copie hors site (cloud, coffre)

Tester la restauration

Une sauvegarde non testée = pas de sauvegarde. Tester au moins trimestriellement.

PRA (Plan de Reprise d’Activité)

  • Garantir la continuité après sinistre

  • RTO/RPO définis

  • Documenter et exercer

6. Sensibilisation

Formations

  • Principes RGPD

  • Bonnes pratiques de sécurité

  • Reconnaissance phishing

Règles claires

  • Mots de passe robustes

  • Pas de USB non vérifiés

  • Verrouillage écran obligatoire

Tests

  • Phishing simulé (exemples)

  • Évaluation périodique

7. Surveillance & détection

Journalisation

  • Suivre accès et modifications

  • Conserver les logs

  • SIEM pour la corrélation

Détection d’intrusions

Notification

Violation → CNIL sous 72h + utilisateurs concernés si risque élevé.

8. Droits des utilisateurs

Droit d’accès

  • Permettre la consultation

  • Réponse sous 1 mois (RGPD)

Effacement & portabilité

  • Effacer sur demande légitime

  • Format portable (CSV, JSON)

  • Délai raisonnable

Limitation

  • Suspendre temporairement le traitement

  • Si contestation de l’exactitude

9. Privacy by Design / Default

By Design

  • Mécanismes intégrés dès la conception

  • Exemple : chiffrement automatique des CB

  • PIA systématique

By Default

  • Paramètres par défaut protecteurs

  • Suivi publicitaire désactivé

  • Visibilité limitée par défaut

10. Cas pratiques

Site web

  • Certificat SSL valide

  • Bannière cookies conforme

  • Page de gestion des préférences

Événement

  • Collecte minimale (nom, email)

  • Information sur la finalité

Newsletter

  • Double opt-in

  • Désinscription en 1 clic

  • Pas de partage à des tiers

Conclusion

Les procédures transforment l’intention en action — c’est ce qui distingue une organisation conforme d’une qui prétend l’être.

Voir aussi : Règles RGPD · RGPD · PIA · CNIL · Gestion d’incidents · AUP