Faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée.

Les précautions élémentaires

Sensibiliser les utilisateurs travaillant avec des données à caractère personnel aux risques liés aux libertés et à la vie privée, les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement. Organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les fonctions des personnes, faire des rappels par messagerie électronique, etc.

Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données à caractère personnel, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer.

Rédiger une charte informatique et lui donner une force contraignante (ex. annexion au règlement intérieur).

Cette charte devrait au moins comporter les éléments suivants :

  1. Le rappel des règles de protection des données et les sanctions encourues en cas de non respect de celles-ci.
  2. Le champ d’application de la charte, qui comprend notamment :
  • les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisme ;
  • les moyens d’authentification utilisés par l’organisme ;
  • les règles de sécurité auxquelles les utilisateurs doivent se conformer, ce qui doit inclure notamment de :
    • Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement ;
    • Ne jamais confier son identifiant/mot de passe à un tiers ;
    • Ne pas installer, copier, modifier, détruire des logiciels sans autorisation ;
    • Verrouiller son ordinateur dès que l’on quitte son poste de travail ;
    • Ne pas accéder, tenter d’accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur ;
    • Respecter les procédures préalablement définies par l’entreprise afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité.
  1. Les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition comme : le poste de travail, les équipements nomades (notamment dans le cadre du télétravail), les espaces de stockage individuel, les réseaux locaux, les conditions d’utilisation des dispositifs personnels, l’Internet, la messagerie électronique et la téléphonie.
  2. Les conditions d’administration du système d’information, et l’existence, le cas échéant, de systèmes automatiques de filtrage, systèmes automatiques de traçabilité et gestion du poste de travail.
  3. Les responsabilités et sanctions encourues en cas de non-respect de la charte.

Pour aller plus loin

  • Mettre en place une politique de classification de l’information définissant plusieurs niveaux et imposant un marquage des documents et des e-mails contenant des données confidentielles.
  • Porter une mention visible et explicite sur chaque page des documents papier ou électroniques qui contiennent des données sensibles.
  • Organiser des séances de formation et de sensibilisation à la sécurité de l’ Des rappels périodiques peuvent être effectués par le biais de la messagerie électronique.
  • Prévoir la signature d’un engagement de confidentialité (voir modèle de clause ci-dessous), ou prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.

Exemple d’engagement de confidentialité pour les personnes ayant vocation à manipuler des données à caractère personnel : cf RGPD-Annexe2.pdf