Le RGPD spécifie que les responsables du traitement des données et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité des données personnelles adapté aux risques.

Les informations suivantes sont des précautions de base qui devraient être prises en considération par les organismes qui traitent des données personnelles (c’est-à-dire les responsables du traitement des données et les sous-traitants). Il ne s’agit pas d’une liste complète des mesures qui peuvent être mises en œuvre pour protéger les données personnelles dans tous les contextes. Les responsables du traitement et les sous-traitants doivent adapter ces mesures au contexte (en tenant compte de l’état de l’art, du contexte du traitement et du risque pour les individus).

Sécurité : quels sont les enjeux ?

Les conséquences d’un manque de sécurité peuvent être graves : les entreprises peuvent voir leur image dégradée, perdre la confiance de leurs consommateurs, payer des sommes importantes pour se remettre d’un incident de sécurité (par exemple à la suite d’une violation de données) ou mettre fin à leur activité. Sécuriser les données personnelles est dans l’intérêt des individus et des organismes qui traitent des données.

Afin d’évaluer les risques générés par chaque activité de traitement, il est tout d’abord conseillé d’identifier l’impact potentiel sur les droits et libertés des personnes concernées. Alors que les organisations doivent protéger leurs données (personnelles ou non) pour leur propre intérêt, les informations suivantes se concentrent sur la protection des données des individus.
La sécurité des données comporte trois composantes principales : protéger l’intégrité, la disponibilité et la confidentialité des données. Par conséquent, les organismes devraient évaluer les risques pour les éléments suivants :

  1. accès non autorisé ou accidentel aux données — perte de  confidentialité (par exemple, le vol d’identité à la suite de la divulgation des fiches de paie de tous les employés d’une entreprise) ;
  2. altération non autorisée ou accidentelle des données — perte d’intégrité (par exemple, accuser faussement une personne d’une faute ou d’un crime à la suite de la modification des journaux d’accès) ;
  3. perte de données ou perte d’accès aux données — perte de  disponibilité (par exemple, la non-détection d’une interaction médicamenteuse en raison de l’impossibilité d’accès au dossier électronique du patient).

Il est également conseillé d’identifier les sources de risque (c’est-à-dire qui ou ce qui pourrait être à l’origine de chaque incident de sécurité ?), en tenant compte des sources humaines internes et externes (par exemple, administrateur informatique, utilisateur, attaquant externe, concurrent) et de sources non humaines internes ou externes (par exemple dommages à l’eau, matières dangereuses, virus informatique non ciblés).

Cette identification des sources de risque vous permettra d’identifier les menaces potentielles (c’est-à-dire dans quelles circonstances pourrait se produire un incident de sécurité ?) sur tel ou tel support (par exemple, matériel, logiciels, canaux de communication, papier, etc.), qui peuvent être :

  • utilisés de manière inappropriée (par exemple, abus de droit, erreur de traitement) ;
  • modifiés (par exemple, piégeage de logiciels ou de matériel — enregistreur de frappe, installation de logiciels malveillants) ;
  • perdus (par exemple, vol d’un ordinateur portable, perte d’une clé USB);
  • observés (par exemple, observation d’un écran dans un train, géolocalisation des dispositifs);
  • détériorés (p. ex. : vandalisme, détérioration naturelle);
  • surchargés (p. ex. : supports de conservation pleins, attaque par déni de service).
  • indisponibles (par exemple dans le cas d’un ransomware).

Il est également conseillé de:

  • déterminer les mesures existantes ou prévues pour faire face à chaque risque (par exemple, contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement);
  • estimer la gravité et la probabilité des risques, sur la base des éléments ci-dessus (exemple d’une échelle pouvant être utilisée pour l’estimation: négligeable, modérée, significative, maximale);
  • mettre en œuvre et vérifier les mesures prévues si les mesures existantes et prévues sont jugées appropriées, s’assurer qu’elles sont mises en œuvre et contrôlées;
  • effectuer des audits de sécurité périodiques: chaque audit devrait aboutir à un plan d’action dont la mise en œuvre devrait faire l’objet d’un suivi au plus haut niveau de l’organisation.

Le RGPD introduit la notion d’« analyse d’impact sur la protection des données » qui est obligatoire pour tout traitement de données personnel susceptible d’entraîner un risque élevé pour les personnes. Une AIPD doit contenir les mesures envisagées pour faire face aux risques identifiés, y compris les garanties, les mesures de sécurité et les mécanismes visant à garantir la protection des données à caractère personnel.

Dans la pratique

  • Afin d’avoir une vue plus claire des risques de sécurité, vous pouvez, par exemple, créer un tableur de gestion des risques et le tenir à jour régulièrement. Ce tableur peut inclure les risques matériels et humains liés aux serveurs, aux ordinateurs ou aux locaux. Des risques suffisamment anticipés peuvent aider à atténuer les conséquences en cas d’incident.

Mesures organisationnelles

Sensibiliser les utilisateurs

Il est essentiel de sensibiliser les employés ou les utilisateurs qui traitent des données personnelles (gestionnaires de données) aux risques liés à la vie privée, de les informer des mesures prises pour faire face aux risques et aux conséquences potentielles en cas de défaillance.

Dans la pratique

La sensibilisation des utilisateurs peut prendre la forme de :

  • séances de sensibilisation;
  • des mises à jour régulières des procédures relatives aux fonctions des employés et des gestionnaires de données ;
  • communication interne, rappels par courriel, etc.

Une autre précaution consiste à documenter les procédures de fonctionnement, à les tenir à jour et à les mettre facilement à la disposition de tous les gestionnaires de données concernés. Concrètement, toute activité de traitement de données à caractère personnel, qu’elle concerne des opérations administratives ou la simple utilisation d’une application, doit être expliquée dans un langage clair et adaptée à chaque catégorie de gestionnaire, dans les documents auxquels elle peut se référer.

 

Mettre en place une politique interne

La connaissance des gestionnaires de données internes peut prendre la forme d’un document, qui devrait être contraignant et intégré dans le règlement intérieur. La politique interne devrait notamment inclure une description des règles en matière de protection des données et de sécurité.

 

Autres mesures organisationnelles

  • Mettre en œuvre une politique de classification de l’information qui définit plusieurs niveaux et exige le marquage des documents et des courriels contenant des données confidentielles.
  • Insérer un avertissement visible et explicite sur chaque page d’un document papier ou électronique contenant des données sensibles.
  • Organiser des séances de formation et de sensibilisation à la sécurité de l’information. Des rappels périodiques peuvent être fournis par e-mail ou par d’autres outils de communication internes.
  • Prévoir la signature d’un accord de confidentialité ou inclure une clause de confidentialité spécifique concernant les données personnelles dans les contrats avec les employés et les autres gestionnaires de données.

 

Mesures techniques

Sécuriser l’équipement

La confiance dans la fiabilité de vos systèmes d’information est une question clé, et la mise en œuvre de mesures de sécurité appropriées, que le RGPD a rendues obligatoires, est l’un des moyens d’y répondre.

En particulier, il est conseillé de sécuriser :

  • le matériel (par exemple serveurs, postes de travail, ordinateurs portables, disques durs);
  • les logiciels (par exemple, système d’exploitation, logiciels d’entreprise);
  • les canaux de communication (par exemple, fibre optique, Wi-Fi, Internet);
  • documents papier (p. ex. documents imprimés, copies);
  • les locaux.

Sécuriser les postes de travail 

Les mesures suivantes pourraient être prises en compte lors de la sécurisation des postes de travail :

  • fournir un mécanisme automatique de verrouillage de session lorsque le poste de travail n’est pas utilisé pendant une période donnée ;
  • installer un logiciel pare-feu et limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail ;
  • utiliser des logiciels antivirus régulièrement mis à jour et avoir une politique de mise à jour régulière du logiciel ;
  • configurer l’environnement logiciel pour mettre à jour automatiquement la sécurité dans la mesure du possible ;
  • encourager la conservation des données des utilisateurs sur un espace de stockage avec sauvegarde régulière accessible via le réseau de l’organisme plutôt que sur les postes de travail. Si des données sont stockées localement, fournir aux utilisateurs des capacités de synchronisation ou de sauvegarde et les former à leur utilisation ;
  • limiter la connexion des supports mobiles (clés USB, disques durs externes, etc.) à l’essentiel;
  • désactivez l’ exécution automatique à partir de supports amovibles.

Ce qu’il ne faut pas faire

  • utiliser des systèmes d’exploitation obsolètes ;
  • donner des droits d’administrateur aux utilisateurs qui n’ont pas de compétences en sécurité informatique.

 

Pour aller plus loin

  • interdire l’utilisation d’applications téléchargées qui ne proviennent pas de sources sécurisées ;
  • limiter l’utilisation des applications qui nécessitent des droits d’administrateur pour s’exécuter ;
  • effacer en toute sécurité les données d’un poste de travail avant de les réaffecter à une autre personne ;
  • en cas de compromission d’un poste de travail, rechercher la source et toute trace d’intrusion dans le système d’information de l’organisation, afin de détecter si d’autres éléments ont été compromis ;
  • assurer la surveillance de la sécurité des logiciels et du matériel utilisés dans le système d’information de l’organisation ;
  • mettre à jour les applications lorsque des vulnérabilités critiques ont été identifiées et corrigées ;
  • installer sans délai les mises à jour critiques du système d’exploitation en programmant un contrôle automatique hebdomadaire ;
  • diffuser à tous les utilisateurs le bon plan d’action et la liste des personnes à contacter en cas d’incident de sécurité ou d’événement inhabituel affectant les systèmes d’information et de communication de l’organisme.

Dans la pratique

  • Le lieu de travail est en open space et vous avez beaucoup d’employés, mais aussi de nombreux visiteurs. Grâce à un verrouillage de session automatique, personne à l’extérieur de l’entreprise ne peut accéder à l’ordinateur d’un employé en pause ou voir ce sur quoi il travaille. De plus, un pare-feu et un antivirus à jour protègent la navigation Internet de vos employés et limitent les risques d’intrusion dans vos serveurs. Plus de mesures sont mises en place, plus il devient difficile pour les personnes ayant une intention malveillante ou un employé négligent de causer des dommages.

Protéger les locaux de l’entreprise

L’accès aux locaux doit être contrôlé afin d’empêcher ou de ralentir l’accès direct et non autorisé à des fichiers papier ou à des équipements informatiques, notamment des serveurs.

Ce qu’il faut faire

  • installer des alarmes anti-intrusion et les vérifier périodiquement ;
  • installer des détecteurs de fumée et des équipements de lutte contre les incendies et les inspecter chaque année ;
  • protéger les clés utilisées pour accéder aux locaux et les codes d’alarme ;
  • séparer les zones de l’entreprise en fonction des risques (par exemple, fournir un contrôle d’accès dédié à la salle informatique) ;
  • tenir une liste des personnes ou catégories de personnes autorisées à entrer dans chaque zone ;
  • établir des règles et des moyens de contrôle d’accès des visiteurs, au minimum en faisant accompagner les visiteurs en dehors des espaces publics par une personne de l’organisme ;
  • protéger physiquement l’équipement informatique avec des moyens spécifiques (système de lutte contre les incendies dédié, élévation contre d’éventuelles inondations, alimentation électrique redondante et/ou climatisation, etc.).

Ce qu’il ne faut pas faire

Sous-dimensionner ou négliger la maintenance de l’environnement de la salle des serveurs (climatisation, onduleur, etc.). Une panne de ces installations entraîne souvent l’arrêt des machines ou l’ouverture d’accès aux locaux (circulation de l’air), ce qui a pour effet de neutraliser les mesures de sécurité.

Pour aller plus loin

Il peut être pertinent de tenir un registre de l’accès aux salles ou aux bureaux où se trouve du matériel contenant des données personnelles susceptibles d’avoir une incidence négative grave sur les personnes concernées. Informer les gestionnaires de données de la mise en œuvre d’un tel système, après avoir informé et consulté les représentants du personnel.

En outre, assurez-vous que seul le personnel dûment autorisé est autorisé dans les zones réglementées. Par exemple :

 

  • à l’intérieur des zones réglementées, exiger que tous les individus portent un moyen d’identification visible (badge) ;
  • les visiteurs (personnel de support technique, etc.) devraient avoir un accès limité. La date et l’heure de leur arrivée et de leur départ doivent être enregistrées ;
  • examiner et mettre à jour régulièrement les autorisations d’accès pour sécuriser les zones et les supprimer si nécessaire.

Dans la pratique

  • Votre entreprise est spécialisée dans le commerce électronique. Vous détenez des données personnelles de clients hébergés sur des serveurs dans des locaux distincts. Afin de sécuriser l’accès à ces données, l’entrée de ces locaux est protégée par un lecteur de badges. Cependant, un incendie éclate en raison d’un court-circuit. Grâce à un détecteur de fumée, les pompiers ont été rapidement alertés et en mesure de limiter la perte de données.

Authentifier les utilisateurs

Afin de garantir que les utilisateurs n’ont accès qu’aux données dont ils ont besoin, ils devraient recevoir un identifiant unique et s’authentifier avant d’utiliser les installations informatiques.

Les mécanismes permettant d’obtenir l’authentification des personnes sont classés selon qu’ils impliquent :

  • ce que nous savons, par exemple un mot de passe ;
  • ce que nous avons, par exemple une carte à puce ;
  • une caractéristique propre à la personne, par exemple la façon dont une signature manuscrite est tracée.

Le choix du mécanisme dépend du contexte et des différents facteurs. L’authentification d’un utilisateur est considérée comme forte lorsqu’elle utilise une combinaison d’au moins deux de ces catégories.

Dans la pratique

  • Afin d’accéder à une salle sécurisée contenant des informations confidentielles, vous pouvez installer un lecteur de badge (« ce que nous avons ») ainsi qu’un code d’accès (« ce que nous savons »).

Gérer les autorisations

Des niveaux différenciés de profils d’autorisation devraient être mis en œuvre en fonction des besoins. Les utilisateurs ne devraient avoir accès aux données que sur la base des besoins à connaître.
Bonnes pratiques en matière d’authentification et de gestion des autorisations :

  • définir un identifiant unique pour chaque utilisateur et interdisent les comptes partagés par plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est inévitable, imposer une validation interne et mettre en œuvre des moyens de suivi (journalisation) ;
  • imposer l’utilisation de règles suffisamment strictes en matière de complexité des mots de passe (par exemple, au moins 8 caractères, majuscules et caractères spéciaux) ;
  • conserver les mots de passe en toute sécurité ;
  • supprimer les autorisations d’accès obsolètes ;
  • procéder à un examen régulier (par exemple tous les six mois) ;

Ce qu’il ne faut pas faire

  • créer ou utiliser des comptes partagés pour plusieurs personnes ;
  • donner des droits d’administrateur aux utilisateurs qui n’en ont pas besoin ;
  • accorder à un utilisateur plus de droits que nécessaire ;
  • oublier de supprimer les autorisations temporaires accordées à un utilisateur (par exemple pour un remplacement);
  • oublier de supprimer les comptes d’utilisateurs des personnes qui ont quitté l’organisation ou qui ont changé de poste.

Pour aller plus loin

Établir, documenter et réviser régulièrement toute politique de contrôle d’accès, en ce qui concerne les traitements mis en œuvre par l’organisme, qui devrait inclure :

  • les procédures à appliquer systématiquement à l’arrivée, au départ ou au changement d’affectation d’une personne ayant accès aux données personnelles ;
  • les conséquences pour les personnes ayant un accès légitime aux données en cas de non-respect des mesures de sécurité ;
  • des mesures visant à restreindre et à contrôler l’attribution et l’utilisation de l’accès au traitement.

Dans la pratique

  • Lorsqu’un nouvel employé rejoint l’entreprise, vous devez créer un nouveau compte utilisateur dédié avec un mot de passe fort. Les employés ne devraient pas partager leurs identifiants et mots de passe entre eux, surtout s’ils n’ont pas les mêmes droits. S’ils changent de poste, vous devriez revoir leurs autorisations d’accès à certains fichiers ou systèmes.

Pseudonymiser les données

La pseudonymisation est un traitement de données personnelle qui a pour objectif de ne plus pouvoir associer les données personnelles à une personne physique spécifique sans informations complémentaires. Ces informations complémentaires doivent être conservées séparément et faire l’objet de mesures techniques et organisationnelles.

Dans la pratique, la pseudonymisation consiste à remplacer directement les données d’identification (nom, prénom, numéro personnel, numéro de téléphone, etc.) par un ensemble de données par des données d’identification indirecte (alias, numéro séquentiel, etc.). Il permet de traiter les données des individus sans pouvoir les identifier de manière directe. Cependant, il est possible de retracer l’identité de ces personnes grâce aux données supplémentaires. En tant que telles, les données pseudonymisées sont toujours des données personnelles et sont soumises au RGPD. La pseudonymisation est réversible, contrairement à l’anonymisation.

La pseudonymisation est l’une des mesures recommandées par le RGPD pour limiter les risques liés au traitement des données à caractère personnel.

Chiffrer les données

Le chiffrement est un processus qui consiste à convertir les informations en code afin d’empêcher l’accès non autorisé. Ces informations ne peuvent être lues qu’en utilisant la bonne clé. Le chiffrement est utilisé pour garantir la confidentialité des données. Les données chiffrées sont toujours des données personnelles. En tant que tel, le chiffrement peut être considéré comme l’une des techniques de pseudonymisation.

De plus, les fonctions de hachage peuvent être utilisées pour assurer l’intégrité des données. Les signatures numériques, assurent non seulement l’intégrité, mais permettent également de vérifier l’origine de l’information et son authenticité.

 

Anonymiser les données

Les données personnelles peuvent être rendues anonymes de telle sorte que l’individu n’est pas ou plus identifiable. L’anonymisation est un processus qui consiste à utiliser un ensemble de techniques pour rendre les données personnelles anonymes de telle sorte qu’il devient impossible d’identifier la personne par tout moyen raisonnablement susceptible d’être utilisé.

L’anonymisation, lorsqu’elle est mise en œuvre correctement, peut vous permettre d’utiliser des données en respectant les droits et libertés des individus. En effet, l’anonymisation peut permettre une réutilisation des données qui n’est initialement pas autorisée en raison de la nature personnelle des données, et peut ainsi permettre aux organismes d’utiliser les données pour de nouveaux objectifs sans interférer avec la vie privée des individus. L’anonymisation permet également de conserver les données au-delà de la période de conservation.

Lorsque l’anonymisation est correctement mise en œuvre, le RGPD ne s’applique plus aux données anonymisées. Cependant, il est important de garder à l’esprit que l’anonymisation des données personnelles n’est pas toujours possible ou facile à réaliser dans la pratique. Il convient d’examiner si l’anonymisation peut être appliquée aux données en cause et maintenue avec succès, compte tenu des circonstances spécifiques du traitement des données à caractère personnel. Une expertise juridique ou technique supplémentaire serait souvent nécessaire pour réussir la mise en œuvre de l’anonymisation conformément au RGPD.

Comment vérifier l’efficacité de l’anonymisation ?

Les autorités européennes chargées de la protection des données définissent trois critères pour garantir qu’un ensemble de données est véritablement anonyme :

  1. Individualisation : il ne devrait pas être possible d’isoler les informations relatives à une personne dans l’ensemble de données.
  2. Corrélation : il ne devrait pas être possible de relier des données distinctes concernant la même personne.
  3. Inférence : il ne devrait pas être possible de déduire, avec une quasi certitude, des informations sur un individu.

Dans la pratique

  • Individualisation : dans une base de données de CV où seuls les noms et prénoms d’une personne ont été remplacés par un numéro (qui ne correspond qu’à cette personne), il est toujours possible de distinguer une personne en fonction d’autres caractéristiques. Dans ce cas, les données personnelles sont considérées comme pseudonymisées et non comme anonymisées.
  • Corrélation : une base de données cartographique contenant les adresses des individus ne peut pas être considérée comme anonyme si d’autres bases de données, existantes ailleurs, contiennent ces mêmes adresses avec d’autres données permettant l’identification des individus.
  • Inférence : si un ensemble de données prétendument anonymes contient des renseignements sur l’obligation fiscale des répondants à un questionnaire et que tous les répondants de sexe masculin âgés de 20 à 25 ans ne sont pas imposables, on pourrait alors en déduire qu’un répondant en particulier est imposable ou non, lorsque son âge et  sexe sont connus.

Situations spécifiques

Mesures de sécurité pour le télétravail

Dans le cadre du télétravail, il est nécessaire de garantir la sécurité des données traitées tout en respectant la vie privée des personnes physiques.

Ce qu’il faut faire :

  • Instaurer une politique de sécurité du télétravail ou au moins un ensemble de règles minimales à respecter, et communiquer ce document aux employés conformément à votre règlement intérieur ;
  • Si vous devez modifier les règles commerciales de votre système d’information pour permettre le télétravail (par exemple, modifier les règles d’autorisation, accès administrateur à distance, etc.), tenir compte des risques encourus et, si nécessaire, prendre des mesures pour maintenir le niveau de sécurité ;
  • Équipez tous les postes de travail de vos employés d’un pare-feu, d’un logiciel antivirus et d’un outil pour bloquer l’accès aux sites malveillants. Si les employés peuvent utiliser leur propre équipement, fournir des conseils pour le sécuriser (voir « Mesures de sécurité pour BYOD ») ;
  • Configurez un VPN pour éviter toute exposition directe de vos services à Internet dans la mesure du possible. Activer l’authentification VPN à deux facteurs, si possible ;
  • Fournir à vos employés une liste d’outils de communication et de collaboration adaptés au travail à distance, qui garantissent la confidentialité des échanges et des données partagées. Choisissez les outils que vous contrôlez et assurez-vous qu’ils fournissent au moins une authentification et un cryptage de pointe des communications et que les données en transit ne soient pas réutilisées à d’autres fins (amélioration du produit, publicité, etc.). Certains logiciels grand public peuvent transmettre des données d’utilisateur à des tiers et sont donc particulièrement inadaptés à un usage professionnel.

 

Mesures de sécurité pour le BYOD (Bring your own device ou « Apportez votre propre appareil »)

Avec le développement du BYOD, en particulier dans les TPE/PME, la frontière entre la vie professionnelle et la vie personnelle s’estompe. Même si BYOD ne représente pas, en soi, un traitement de données personnelles, il est toujours nécessaire d’assurer la sécurité des données.

L’acronyme « BYOD » signifie « Bring Your Own Device » et fait référence à l’utilisation d’équipements informatiques personnels dans un contexte professionnel. Par exemple, un employé qui utilise un équipement personnel tel qu’un ordinateur, une tablette ou un téléphone pour se connecter au réseau de l’entreprise.

La possibilité d’utiliser des outils personnels relève avant tout du choix de l’employeur et de la législation nationale. Le RGPD exige que le niveau de sécurité des données personnelles traitées soit le même, quel que soit l’équipement utilisé. Les employeurs sont responsables de la sécurité des données personnelles de leur entreprise, y compris lorsqu’elles sont stockées sur des terminaux sur lesquels ils n’ont aucun contrôle physique ou juridique, mais dont ils ont autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.

Les risques contre lesquels il est essentiel de protéger votre organisation peuvent concerner autant une attaque ponctuelle sur la disponibilité, l’intégrité et la confidentialité des données qu’une compromission générale du système d’information de l’entreprise (intrusion, virus, etc.).

Exemple de checklist

Voici un exemple de checklist pour améliorer le niveau de sécurité en place dans votre organisation :

  • Informer et éduquer régulièrement les gestionnaires de données sur les risques liés à la vie privée
  • Mettre en place une politique interne et lui donner force contraignante
  • Mettre en œuvre la protection des données dès la conception et par défaut
  • S’assurer que les données traitées sont adéquates, pertinentes et limitées à ce qui est nécessaire (minimisation des données)
  • Mettre en œuvre une politique de classification de l’information pour les données confidentielles
  • Mettre une indication spécifique sur les documents contenant des données sensibles
  • Organiser des séances de formation et de sensibilisation à la sécurité de l’information, ainsi que des rappels périodiques.
  • Signer un accord de confidentialité avec vos employés ou inclure des clauses de confidentialité spécifiques
  • Fournir un verrouillage automatique de la session, un pare-feu et un antivirus à jour, un stockage de sauvegarde pour les utilisateurs
  • Limiter la connexion physique (clés USB, disques durs externes, etc.) à l’essentiel
  • Protéger les locaux de l’entreprise (par exemple, alarmes anti-intrusion, détecteurs de fumée, clés protégées, pièce distinguée en fonction du risque, autorisation d’accéder à des zones spécifiques, système dédié de lutte contre les incendies)
  • Donner un identifiant unique aux utilisateurs
  • Exiger une authentification pour accéder aux installations informatiques
  • Gérer les autorisations (par exemple, des profils séparés en fonction des besoins, un identifiant unique, des mots de passe forts)
  • Publier une politique de sécurité en matière de télétravail
  • Supprimer les autorisations d’accès obsolètes
  • Procéder à un examen régulier des autorisations
  • Pseudonymiser ou anonymiser les données pour limiter la réidentification des individus
  • Chiffrer les données pour empêcher les accès non autorisés
  • Installer un VPN pour le télétravail
  • S’assurer de sécuriser les appareils personnels utilisés pour le travail (BYOD)