Comment être sûrs que les données que nous traitons sont correctement sécurisées?

Le plan d’action de votre organisation pour sécuriser les données que vous détenez dépendra d’un grand nombre de facteurs: les types de données que vous stockez, leur sensibilité, la quantité de données que vous détenez, la complexité de votre infrastructure, si vous avez une connaissance interne en matière de sécurité informatique ou si vous sous-traitez, etc.. Au minimum, vous devriez:

  • faire la liste des données personnelles que vous détenez et cartographier son stockage;

  • faire une évaluation des risques, en identifiant les sources d’accès non-autorisé ou de fuite les plus probables;

  • mettre en œuvre un plan d’action en matière de protection des données basé sur l’étude de risques, qui couvre la minimisation des données (ne collectez, traitez et stockez que les données dont vous avez absolument besoin); le contrôle d’accès (limitez le nombre de personnes qui ont accès aux données personnelles); la sécurité du stockage (où stockez-vous les données personnelles (sensibles)? Est-ce qu’elles sont séparées des données qui ne sont ni personnelles ni sensibles? Est-ce qu’elles sont chiffrées?): l’hygiène numérique de vos employés; ainsi qu’une politique de conservation, archivage et suppression des données;

  • tester la sécurité des systèmes qui stockent les données personnelles (serveurs, email, archives, etc.);

  • noter toutes les actions menées pour protéger les données personnelles que vous détenez;

  • élaborer et tester un plan d’action en cas de violation des données, qui inclue les rôles et responsabilités, la notification de l’autorité de protection des données, etc.;

  • élaborer un plan pour revoir ces étapes périodiquement.