L’indispensable sécurité des données

La direction informatique développe et gère les outils et plateformes informatiques sur lesquels transitent et sont stockées les données personnelles visées par le GDPR. Dans ce cadre, elle est concernée par toutes les données qui sont collectées et traitées par l’entreprise dans sa globalité. Les autres services vont s’appuyer sur les outils et plateformes gérés par celle-ci pour utiliser ces données.

Il est nécessaire que la DSI s’assure de la sécurité des systèmes d’informations de son entreprise, et donc celle des données, ce qu’impose le GDPR. Pour cela, il faut changer régulièrement le mot de passe et mettre en place une procédure rigoureuse pour créer ou supprimer des comptes utilisateurs. Il est également indispensable de sécuriser les postes de travail ou encore d’identifier les personnes habilitées à accéder aux fichiers.

Autre obligation : notifier les clients et la CNIL lorsqu’il a été porté atteinte aux données. Cette atteinte peut résulter d’une perturbation des traitements ou d’une altération des fichiers.

Elle doit aussi mettre en oeuvre le principe de « Privacy by default », par exemple en instaurant un processus de destruction automatique et systématique des données lorsque la finalité du traitement est atteinte.

Une fonction centrale en terme d’innovation

La DSI sera pionnière en termes d’innovation. L’anonymisation en est le moyen le plus adéquat : elle permet de ne pas recueillir le consentement de la personne tout en traitant ses données. La gestion de cet anonymat par la direction informatique est essentielle. Il faut veiller à ce que les données ne permettent pas de ré-identifier la personne à laquelle elles renvoient.

Une attention particulière devra être apportée à la part grandissante du Shadow IT, qui désigne les systèmes d’information et de communication mis en œuvre au sein de l’entreprise sans approbation de la direction des systèmes d’information. Il faut identifier les applications non autorisées, rendre la bande passante du réseau transparente, mettre en place un système de surveillance qui identifie les appareils qui posent problèmes. Le but est de veiller à ce que toutes les opérations de traitement soient bien enregistrées, ce qu’oblige le GDPR.

 

Vous avez une suggestion à ajouter ? Une précision ? N’hésitez pas à nous écrire (contact@trustandprivacy.eu), nous serons heureux de prendre en compte vos remarques, pour une meilleure information de tous.