Les mesures essentielles
Informer les utilisateurs (qu’ils soient internes ou externes à l’organisation) qui traitent des données personnelles des risques liés à la vie privée des individus. Il est important de les sensibiliser aux conséquences d’une mauvaise gestion de ces risques. Cela peut se faire en organisant des séances de sensibilisation, en leur envoyant régulièrement des mises à jour sur les procédures pertinentes relatives à leurs fonctions, ou encore en leur envoyant des rappels par e-mail, par exemple.
Documenter les procédures d’exploitation, les mettre à jour et les rendre accessibles à tous les utilisateurs concernés. Il est primordial d’expliquer, de manière claire et adaptée à chaque catégorie d’utilisateurs, toute action liée au traitement des données personnelles, que ce soit une opération administrative ou l’utilisation simple d’une application. Les utilisateurs doivent pouvoir se référer à des documents contenant ces informations.
Élaborer une charte informatique et lui donner force obligatoire (par exemple, en l’annexant au règlement intérieur). Cette charte devrait comporter au minimum les éléments suivants :
Rappel des règles de protection des données et des sanctions encourues en cas de non-respect de ces règles.
Champ d’application de la charte, incluant notamment :
- Les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisation.
- Les méthodes d’authentification utilisées par l’organisation et la politique de mots de passe que les utilisateurs doivent respecter.
- Les règles de sécurité auxquelles les utilisateurs doivent se conformer, y compris :
- Signaler toute violation ou tentative suspectée de violation du compte informatique auprès du service informatique interne, ainsi que toute perte ou vol de matériel, et en général, tout dysfonctionnement.
- Ne jamais partager son identifiant/mot de passe avec un tiers.
- Ne pas installer, copier, modifier ou supprimer des logiciels et leurs paramètres sans autorisation.
- Verrouiller son ordinateur dès qu’on quitte son poste de travail.
- Ne pas accéder, essayer d’accéder ou supprimer des informations qui ne sont pas liées aux tâches de l’utilisateur.
- Respecter les procédures établies par l’organisation pour encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’approbation préalable de son supérieur hiérarchique et en respectant les règles de sécurité.
Modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition, tels que :
- Le poste de travail.
- Les équipements nomades (notamment dans le cadre du télétravail).
- Les espaces de stockage individuels.
- Les réseaux locaux.
- Les conditions d’utilisation des dispositifs personnels.
- L’accès à Internet.
- La messagerie électronique.
- La téléphonie.
Conditions d’administration du système d’information, y compris si applicable :
- Systèmes automatiques de filtrage.
- Systèmes automatiques de traçabilité.
- Systèmes de gestion du poste de travail.
Responsabilités et sanctions en cas de non-respect de la charte.
Aller plus loin
- Mettre en place une politique de classification de l’information avec plusieurs niveaux (par exemple : public, interne, confidentiel) et exiger le marquage des documents, supports et e-mails contenant des données confidentielles.
- Ajouter une mention visible et explicite sur chaque page des documents physiques ou électroniques contenant des données sensibles.
- Organiser des séances de formation et de sensibilisation à la sécurité de l’information. Des rappels périodiques peuvent être effectués par e-mail. Les campagnes de sensibilisation peuvent également prendre la forme de simulations d’attaques (par exemple : campagnes d’hameçonnage ou “phishing”).
- Prévoir la signature d’un engagement de confidentialité (voir modèle de clause ci-dessous) ou inclure une clause de confidentialité spécifique concernant les données personnelles dans les contrats de travail.
Exemple d’engagement de confidentialité pour les personnes amenées à manipuler des données personnelles :
[Insérer le texte de l'engagement de confidentialité ici]
Avec ces mesures, il est possible de sensibiliser efficacement les utilisateurs à la sécurité des données personnelles et de minimiser les risques potentiels pour la vie privée des individus.