Ce que vous devez savoir sur la sécurité de l'information
Toutes les organisations s'appuient sur l'utilisation d'informations pour leurs activités quotidiennes. Pour cette raison, elles doivent s'assurer de la protection adéquate de leurs ressources informationnelles, c'est-à-dire toutes les données ayant de la valeur, par exemple, les dossiers des salariés, les rapports d'analyse, les données financières, les secrets commerciaux, les contrats, etc.
Tel est l'un des objectifs clés du domaine spécifique appelé «sécurité de l'information». La sécurité de l'information se réfère aux façons et moyens de protéger les données imprimées, électroniques ou toute autre forme de donnée ou d'information sensible, privée et confidentielle, contre tout accès ou usage non autorisé, usage abusif, divulgation, destruction, modification ou perturbation. (1)
Assurer la sécurité de l'information est une tâche complexe étant donné que la plupart des organisations évoluent dans un environnement en constante mutation qui a des impacts sur leurs activités: développement du marché, avancées technologiques, apparition de nouvelles vulnérabilités, évolution du régime juridique, etc.
La gestion des risques liés à la sécurité de l'information (Information Security Risk Management, ISRM) est le processus spécifique qui aide les responsables de la sécurité de l'information à traiter les incertitudes susceptibles d'affecter la sécurité de l'information de leur organisation au fil du temps, et qui leur indique les meilleures réponses à ces incertitudes en tenant compte des contraintes de leur environnement professionnel. Elle comprend une analyse des risques auxquels l'organisation est confrontée et la définition de mesures de sécurité appropriées en vue de prévenir ces risques.
(1) https://www.sans.org/information-security/
Quelles sont les principaux enjeux en matière de protection des données?
Sécurité des données – Les ressources informationnelles englobent souvent les informations personnelles (appelées également données à caractère personnel). La sécurité est l'une des principales composantes de la protection des données. Pour garantir un niveau adéquat de protection, les organisations doivent mettre en place un processus de gestion des risques permettant d’apprécier les risques pour la sécurité liés au traitement des données à caractère personnel. Elles doivent ensuite appliquer des mesures de sécurité pour faire face aux risques détectés. Il peut s'agir de mesures organisationnelles (par exemple, l'élaboration de politiques ou de procédures, etc.) ou techniques (par exemple, l'installation d'un logiciel antivirus, des fichiers de sauvegarde, etc.).
Responsabilité – Les organisations doivent s'assurer que leurs contrôles de sécurité demeurent efficaces au fil des ans pour protéger les données et atténuer les menaces existantes. Un contrôle régulier, impliquant une analyse des besoins de l'organisation, de ses opérations de traitement et de ses outils de sécurité, est l'approche la plus performante pour maîtriser et garantir la sécurité de l'information de l'organisation. Une telle analyse aide les organisations à investir dans les outils de sécurité les plus appropriés et à justifier cet investissement.
En matière de traitement des données à caractère personnel, il convient également de tenir compte des répercussions potentielles sur les personnes concernées. Par exemple, la violation de la confidentialité des données d'un dossier médical ou d'un casier judiciaire risque de porter gravement atteinte aux personnes concernées et nécessite par conséquent la prise des mesures vigoureuses qui s'imposent afin de réduire les risques associés.
Informations complémentaires
Le CEPD a élaboré des lignes directrices sur ce sujet:
Guide sur les mesures de sécurité relatives au traitement des données à caractère personnel - Article 22 du règlement 45/2001