Renforcer la sécurité de toute transmission de données à caractère personnel.
L’accès aux locaux doit être contrôlé pour éviter ou ralentir un accès direct, non autorisé, que ce soit aux fichiers papiers ou aux matériels informatiques, notamment aux serveurs.
Les précautions élémentaires
Installer des alarmes anti-intrusion et les vérifier périodiquement.
Mettre en place des détecteurs de fumée ainsi que des moyens de lutte contre les incendies, et les inspecter annuellement.
Protéger les clés permettant l’accès aux locaux et les codes d’alarme.
Distinguer les zones des bâtiments selon les risques (par exemple prévoir un contrôle d’accès dédié pour la salle informatique).
Tenir à jour une liste des personnes ou catégories de personnes autorisées à pénétrer dans chaque zone.
Établir les règles et moyens de contrôle d’accès des visiteurs, au minimum en faisant accompagner les visiteurs, en dehors des zones d’accueil du public par une personne appartenant à l’organisme.
Protéger physiquement les matériels informatiques par des moyens spécifiques (système anti-incendie dédié, surélévation contre d’éventuelles inondations, redondance d’alimentation électrique et/ou de climatisation, etc.).
Ce qu’il ne faut pas faire
Sous-dimensionner ou négliger l’entretien de l’environnement des salles informatiques (climatisation, onduleur, etc.). Une panne sur ces installations a souvent comme conséquence l’arrêt des machines ou l’ouverture des accès aux salles (circulation d’air) neutralisant de facto des éléments concourant à la sécurité physique des locaux.
Pour aller plus loin
Conserver une trace des accès aux salles ou bureaux susceptibles d’héberger du matériel contenant des données personnelles pouvant avoir un impact négatif grave sur les personnes concernées. Informer les utilisateurs de la mise en place d’un tel système, après information et consultation des représentants du personnel.
Assurer que seul le personnel dûment habilité soit admis dans les zones à accès restreint. Par exemple:
- à l’intérieur des zones à accès réglementé, exiger le port d’un moyen d’identification visible (badge) pour toutes les personnes ;
- les visiteurs (personnel en charge de l’assistance technique, etc.) doivent avoir un accès limité. La date et l’heure de leur arrivée et départ doivent être consignées ;
- réexaminer et mettre à jour régulièrement les permissions d’accès aux zones sécurisées et les supprimer si nécessaire.