Informations sensibles : protéger vos analyses d’impact RGPD !

11 Déc 2018
Marc Gualino
244
0

Le RGPD demande aux entreprises et administrations de réaliser des PIA (Privacy Impact Analysis) sur les traitements de données personnelles susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes. Ces analyses impliquent d’identifier les impacts pour les personnes et de détailler les différentes mesures de protection adoptées. Plus les analyses sont poussées, plus elles sont pertinentes. La contrepartie est que le PIA devient lui-même une information sensible et stratégique pour l’organisation.

L’évaluation des mesures existantes ou prévues ainsi que l’appréciation des risques sont généralement réalisées par la maîtrise d’œuvre, puis évaluée par une personne en charge de la sécurité de l’information.

L’étape d’évaluation des mesures existantes ou prévues a pour objectif d’avoir une bonne connaissance des mesures contribuant à la sécurité des données.

Comme le décrit la CNIL dans sa méthode, les actions à réaliser sur ce point sont :

  • « Identifier ou déterminer les mesures existantes ou prévues (déjà engagées), qui peuvent être de trois natures différentes :
    • mesures portant spécifiquement sur les données du traitement : chiffrement, anonymisation, cloisonnement, contrôle d’accès, traçabilité, etc. ;
    • mesures générales de sécurité du système dans lequel le traitement est mis en œuvre : sécurité de l’exploitation, sauvegardes, sécurité des matériels, etc. ;
    • mesures organisationnelles (gouvernance) : politique, gestion des projets, gestion des personnels, gestion des incidents et violations, relations avec les tiers, etc. ;
  • Vérifier qu’il n’est pas utile, ou pas possible, d’améliorer chaque mesure et sa description, conformément aux bonnes pratiques de sécurité ;
  • Le cas échéant, préciser leur description ou proposer des mesures complémentaires. »

L’étape d’appréciation des risques vise à analyser les éléments suivants :

  • « Pour chaque événement redouté (un accès illégitime à des données, une modification non désirée de données et une disparition de données) :
    • déterminer les impacts potentiels sur la vie privée des personnes concernées s’ils survenaient ;
    • estimer sa gravité, notamment en fonction du caractère préjudiciable des impacts potentiels et, le cas échéant, des mesures susceptibles de les modifier ;
    • identifier les menaces sur les supports des données qui pourraient mener à cet événement redouté et les sources de risques qui pourraient en être à l’origine ;
    • estimer sa vraisemblance, notamment en fonction des vulnérabilités des supports de données, des capacités des sources de risques à les exploiter et des mesures susceptibles de les modifier ;
    • déterminer si les risques ainsi identifiés peuvent être jugés acceptables compte tenu des mesures existantes ou prévues ;
    • proposer éventuellement, des mesures complémentaires et ré-estimer »

La réalisation de cette analyse, revenant à décrire, synthétiser et évaluer ses propres règles et mesures de sécurité est un document très sensible qui doit donc rester en partie confidentiel et être protégé de façon adéquate.

Les conséquences d’une mauvaise protection de ses PIA seraient de fournir des informations sensibles en termes de cybersécurité ce qui pourrait faciliter le travail de personnes malveillantes. D’un point de vue analyse de risque, la mauvaise protection d’un PIA augmente la probabilité d’une attaque ou d’une compromission.

A noter cependant que le Comité européen à la protection des données (CEPD) encourage les organismes à publier au moins partiellement leurs PIA. Ces publications qui peuvent être réalisées sous la forme de résumés ou de conclusions sont, selon le CEPD, utiles pour susciter la confiance dans les opérations de traitement de l’organisme et pour donner des gages de responsabilité et de transparence. Sa publication n’a pas besoin d’inclure l’intégralité de l’analyse, notamment lorsque celle-ci pourrait donner des informations spécifiques relatives à des risques en matière de sécurité concernant ou divulguer des secrets d’affaires ou des informations commercialement sensibles.

Pour aller plus loin :
PIA : quels sont vos traitements concernés ?