Mesures techniques et organisationnelles - MTO

Au sens de l’art. 32 RGPD

Les organisations qui collectent, traitent ou utilisent elles-mêmes ou sur demande des données à caractère personnel sont tenues de prendre les mesures techniques et organisationnelles nécessaires pour garantir le respect des prescriptions de la législation en matière de protection des données. Les mesures ne sont nécessaires que si les moyens de mise en œuvre restent raisonnables par rapport au but de protection poursuivi.

1.Confidentialité

1.1 Contrôle des accès à l’entrée

Mesures propres à empêcher que des personnes non autorisées aient accès à des systèmes de traitement des données traitant ou utilisant des données à caractère personnel. Ces mesures peuvent notamment être, pour la sécurisation des bâtiments et des espaces, des systèmes automatiques de contrôle d’accès, des cartes à puce, des transpondeurs, le contrôle des accès par un service de conciergerie ainsi que des systèmes d’alarme. Les serveurs, les installations de télécommunication, la technique de réseau et autres systèmes similaires doivent être mis à l’abri sous clé dans des armoires de serveurs. Il est en outre judicieux de renforcer le contrôle des accès à l’entrée par des mesures organisationnelles (p. ex. instruction ordonnant la fermeture des salles de service durant les absences).

Mesures techniquesMesures organisationnelles
Système de fermeture manuel dans tous les bureauxRèglement sur l’attribution des clés / liste
Interdiction pour les services de nettoyage d’avoir accès au réseau ou aux autres installations techniques

1.2 Contrôle de l’utilisation

Mesures destinées à empêcher que des personnes non autorisées utilisent des systèmes de traitement des données (ordinateurs). Autrement dit, ce contrôle vise à empêcher l’utilisation non autorisée de systèmes. Les moyens déployés à cet effet sont divers, par exemple: mot de passe Boot, identification au moyen d’un mot de passe pour les systèmes d’exploitation et les logiciels utilisés, économiseur d’écran avec mot de passe, carte à puce pour se connecter ou encore fonction de rappel. Des mesures organisationnelles pourront également se révéler nécessaires, par exemple pour empêcher la consultation de contenus par des personnes non autorisées (instructions concernant la disposition des écrans, aides utilisateurs pour le choix d’un «bon» mot de passe, etc.).

Mesures techniquesMesures organisationnelles
Authentification à deux facteurs pour tous les systèmes comportant des données sensiblesGestion des autorisations utilisateurs dans les systèmes productifs par des responsables définis
Chiffrement des disques durs sur les appareils des membres du personnel (laptops)Création de profils utilisateurs

1.3 Contrôle des accès

Mesures garantissant que les personnes autorisées à utiliser un système de traitement des données ont accès exclusivement aux données liées à leur droit d’accès et que, dans le cadre du traitement, de l’utilisation ou après enregistrement, les données à caractère personnel ne peuvent pas être lues, copiées, modifiées ni supprimées par des personnes non autorisées. Le contrôle des accès peut notamment être assuré par des concepts d’autorisation appropriés qui permettent une gestion différenciée de l’accès aux données. Il convient à cet égard d’établir une distinction tant au niveau du contenu des données qu’au niveau des possibilités d’accès aux données. Des responsabilités et des mécanismes de contrôle adéquats doivent en outre être définis pour documenter et tenir à jour l’octroi et le retrait des autorisations (p. ex. en cas d’embauche, de changement de poste de travail ou de résiliation des rapports de travail). Le rôle et le champ d’action des administrateurs doivent par ailleurs toujours faire l’objet d’une attention particulière.

Mesures techniquesMesures organisationnelles
Destructeur de documentsListe de contrôle pour l’onboarding et l’offboarding de collaboratrices et collaborateurs

1.4 Contrôle de la séparation des données

Mesures garantissant que les données collectées dans des buts distincts sont traitées séparément. Par exemple, une séparation logique et physique des données pourra être opérée.

Mesures techniquesMesures organisationnelles
Séparation entre environnement test et environnement productifPilotage basé sur un concept d’autorisation pour les produits, les données analytiques et le système d’archivage des données

2. Intégrité

2.1 Contrôle de la transmission

Mesures permettant de s’assurer que des données à caractère personnel ne puissent pas être lues, copiées, modifiées ou supprimées par des personnes non autorisées durant leur transmission électronique, leur transport ou leur enregistrement sur des supports de données. Ces mesures visent aussi à garantir qu’il puisse être vérifié et constaté à quelles instances des données à caractère personnel peuvent être transmises par des installations de transmission de données. Pour garantir la confidentialité lors de la transmission électronique de données, il est possible d’utiliser par exemple des techniques de chiffrement ou un VPN (Virtual Private Network). Les mesures concernant le transport de supports de données ou la transmission de données consistent en des conteneurs de transport dotés d’un dispositif de verrouillage et en des réglementations relatives à la destruction de supports de données dans le respect de la législation sur la protection des données.

Mesures techniquesMesures organisationnelles
Journalisation des accès et des consultationsDocumentation des destinataires des données ainsi que de la durée de mise à disposition prévue pour les données ou des délais de suppression

2.2 Contrôle de la saisie

Mesures garantissant la possibilité de vérifier et de constater a posteriori si et par qui des données à caractère personnel ont été saisies, modifiées ou supprimées dans des systèmes de traitement des données. Le contrôle de la saisie repose sur des journalisations qui peuvent s’effectuer à plusieurs niveaux (système d’exploitation, réseau, pare-feu, base de données, application, etc.). Il convient à cet égard de déterminer quelles sont les données journalisées, qui a accès aux journaux, par qui et dans quels cas/à quel moment les journaux sont contrôlés, quel est le délai de conservation nécessaire et quand les journaux sont supprimés.

Mesures techniquesMesures organisationnelles
Journalisation technique de la saisie, de la modification et de la suppression de donnéesTraçabilité de la saisie, de la modification et de la suppression de données au moyen de noms d’utilisateurs uniques

3. Disponibilité et robustesse

3.1 Contrôle de la disponibilité

Mesures garantissant la protection des données à caractère personnel contre la détérioration ou la perte accidentelles. Les domaines considérés sont par exemple une alimentation électrique sans coupure, les installations de climatisation, la protection incendie, la sauvegarde des données, la conservation sécurisée des supports de données, la protection antivirus, les systèmes RAID ou la mise en miroir de disques.

Mesures techniquesMesures organisationnelles
Tous les systèmes critiques sont stockés dans des services cloud ou des services de colocation qui garantissent le respect des mesures correspondantes par l’application des normes ISO 9001 et ISO 27001.Concept de back-up et de récupération
Mise en place d’un plan d’urgence
Les back-ups sont régulièrement exécutés sur des systèmes parallèles afin de pouvoir vérifier les processus de restauration.

4. Procédures régulières de vérification, d’analyse et d’évaluation

4.1 Mesures liées à la protection des données

Mesures techniquesMesures organisationnelles
Pour les requêtes en lien avec la protection des données, l’adresse à contacter est [email protected].
Les collaboratrices et collaborateurs sont formés par Flatfox au caractère sensible des données et leur attention est régulièrement attirée sur des scénarios constituant une menace.

4.2 Gestion des réponses aux incidents

Soutien apporté dans la réaction face aux atteintes à la sécurité

Mesures techniquesMesures organisationnelles
Les systèmes productifs impactés peuvent être isolés via CloudFlare, indépendamment de l’accès à ces systèmes.En cas d’activités douteuses, il existe des processus documentés de verrouillage d’utilisateurs.

4.3 Protection des données par défaut

Protection des données dès la conception / protection des données par défaut

Mesures techniquesMesures organisationnelles
Les données sensibles de candidates et candidats qui ne sont plus utilisées activement sont supprimées automatiquement après un laps de temps approprié (en général 60 jours).

4.4 Contrôle de la bonne exécution (externalisation)

Mesures garantissant que des données à caractère personnel traitées sur mandat le sont exclusivement en conformité avec les directives du mandant. En plus du traitement des données sur mandat, ce point englobe l’exécution de travaux de maintenance et de gestion du système aussi bien sur site qu’à distance. Si le mandataire fait appel à des prestataires au sens d’une sous-traitance, les points ci-dessous doivent impérativement être réglés avec ceux-ci.

Mesures techniquesMesures organisationnelles
Conclusion obligatoire d’un contrat de sous-traitance ou des clauses contractuelles types de l’UE
Instructions écrites à l’intention du mandataire