Transparence… Responsabilité et respect des droits des personnes… Le RGPD (Règlement Général sur la Protection des Données), entré en application le 25 mai 2018, est ce fameux règlement qui harmonise et complète les lois déjà existantes concernant la protection des données au sein de l’Union Européenne. Il a pour objet de protéger la vie privée des internautes en responsabilisant les entreprises face aux données personnelles qu’elles ont entre leurs mains…
Le RGPD a de fait vocation à éclairer les utilisateurs sur les questions suivantes et chaque « sites web » doit-être en mesure d’y répondre :
Qui a le contrôle sur vos données personnelles et qui en sont les bénéficiaires ?
Quels types d’informations sont collectées et quels sont vos droits au regard de ces traitements ?
Combien de temps vos données sont-elles conservées ?
Pourquoi tel ou tel site collecte vos données ?
Sécurité
➞ Ce que le RGPD demande :
⇾ Appliquer le « Privacy By Design » ainsi que les bonnes mesures de sécurité dès la conception
➞ Les actions à mettre en place :
⇾ Hébergement : Assurer vous des normes de sécurité exigées pour le stockage de vos données. Les données personnelles de santé par exemple font l’objet de norme très stricte. Mais globalement choisissez un hébergeur qui apporte de bonne garantie en matière de sécurité (Ex : Iso 27001, HDS …..)
⇾ Encrytion et hashage : Installer un certificat gratuit Let’s Encrypt (ou un certificat payant) pour activer le protocole TLS/SSL sur vos URLs de votre site. Cette manipulation sécurise la confidentialité des données qui transitent entre les navigateurs client et le serveur en permettant aux utilisateurs la navigation en HTTPS. Assurez-vous que si votre application stocke des mots de passe, qu’ils ne le soient pas en clair mais via les normes de hashage les plus sécurisées. Pour finir forcez vos utilisateurs à ne pas s’échanger leur compte et à devoir renseigner un mot de passe complexe de qualité en mettant en application les bonnes pratiques recommandées par la CNIL et l’ANSSI.
⇾ Restez vigilant à mettre en place toutes les mesures de développement recommandées pour assurer la meilleure hygiène technique des applications au coeur du traitement des données. Choisir une équipe de développement/conseil aguerrie, maitriser les technologies en jeu, ne pas négliger la dette technique (mise à jour constante), réaliser les monitorings nécessaires, mettre en place des protocoles de sauvegardes et de reprise d’activité…
⇾ Soyez conscient, en cas d’incidents techniques, de vos obligations d’opérer une déclaration à la CNIL dans un délai maximum de 72h dès que vous en avez eu connaissance : vol de données, piratages etc..
A lire sur le même sujet :