Envoyer des fichiers de données personnelles à des tiers, fournisseurs ou prestataires, oui. Mais en conformité avec les exigences du RGPD. Minimisation des données communiquées, utilisation de méthodes sécurisées, encadrement des transferts de données hors Union Européenne… Certaines mesures techniques et organisationnelles seront à mettre en place. On vous dit tout dans cet article.
Pourquoi vos envois de fichiers doivent respecter le RGPD ?
Communiquer des données personnelles à un prestataire n’est pas une opération neutre.
- En tant que client souscripteur d’une prestation de services ou d’une licence de logiciels, vous assumez la responsabilité des traitements de données personnelles. Cela inclut l’accès aux données que vous accordez à vos sous-traitants et leur exploitation.
- Utiliser une méthode d’envoi peu sécurisée ou des protocoles obsolètes de communication de données augmente le risque qu’un tiers non autorité n’accède aux données.
Il est donc essentiel d’adopter certaines mesures élémentaires.
Limitez le partage de données au strict nécessaire
Un contrat a été conclu avec le fournisseur d’une solution en Saas. Celui-ci vous demande le fichier client pour le charger dans son outil.
Le collaborateur concerné n’est-il pas tenté d’aller au plus vite ? D’extraire le fichier d’un outil interne et de le transmettre en intégralité au fournisseur ?
Il faut pourtant absolument l’expurger au préalable des données inutiles compte tenu de la prestation de services qui sera opérée. Envoyer les coordonnées personnelles des salariés à un prestataire qui n’en a pas besoin est en effet un manquement réel aux obligations légales posées par le RGPD.
De la même manière que les collaborateurs de votre groupe n’accèdent pas à l’ensemble des bases de données internes, vous ne devez communiquer aux tiers que le strict nécessaire.
Sécurisez vos partages de fichiers par-email
Vous envoyez peut-être régulièrement des fichiers par e-mail.
C’est le moyen le plus rapide ; certainement pas le plus sécurisé.
- Le risque d’erreur de manipulation est particulièrement fort. Il suffit d’envoyer par erreur un fichier, des collaborateurs par exemple, à un tiers non autorisé (un client, un investisseur) pour commettre une violation de données personnelles. Violation dont le RGPD vous impose une notification à la CNIL…
- La messagerie électronique n’est pas en soi un moyen suffisamment sécurisé. Quiconque a un accès aux serveurs de messagerie de l’expéditeur ou du destinataire accède aux fichiers envoyés en clair.
- Les messageries font l’objet d’attaques informatiques récurrentes : arnaques au président, tentatives de physhing, ransomwares…
Heureusement, la CNIL a diffusé des recommandations de sécurité, notamment en cas d’envoi de données via un réseau.
- Utilisez un protocole assurant la confidentialité du transfert et l’authentification du serveur destinataire, par exemple SFTP ou HTTPS. Veillez à recourir aux versions les plus récentes.
- Chiffrez les pièces-jointes, particulièrement les fichiers sensibles.
- Ne transmettez pas les secrets (mots de passe, clé de déchiffrement) avec le même canal utilisé pour envoyer un fichier. Par exemple, si le fichier est envoyé par e-mail, envoyez par SMS le mot de passe sécurisant l’accès au contenu.
Que faire en cas d’envoi de données sur un support physique ?
DVD, Clé USB, disque dur portable… Pour certains documents confidentiels ou contenant des données sensibles, vous avez décidé de ne pas les communiquer via le réseau.
Pourquoi ne pas les transmettre via un support physique ? Bonne idée. Mais en cas de perte ou de vol, n’importe qui pourra y accéder.
Pour y remédier, vous allez chiffrer les données avant de les enregistrer sur le support. En cas de vol de la clé USB, personne ne pourra lire son contenu.
Comment transmettre des données via un serveur sécurisé ?
Cette fois, il ne s’agit plus de communiquer des fichiers par e-mail à vos sous-traitants. Ceux-ci recevront un permettant de télécharger les documents depuis un serveur.
C’est une façon très adaptée de sécuriser vos envois, en prévoyant quelques règles élémentaires.
- Si le prestataire doit s’authentifier en se connectant au serveur, définissez une politique de mots de passe rigoureuse. Elle devra notamment respecter les exigences de la CNIL.
- Si le serveur est fourni par une société tierce, assurez-vous d’avoir signé un contrat engageant avec elle et vérifiez la politique de sécurité informatique mise en application.
- Utilisez des méthodes à l’état de l’art pour sécuriser le stockage et les protocoles d’accès aux données.
- Attention à la localisation des serveurs. Privilégiez un hébergement en Union Européenne. Voire en France si vous êtes une collectivité territoriale ou tout autre organisme public.
- Définissez un processus simple et rapide pour pouvoir faire stocker des fichiers sur un serveur sécurisé et les communiquer en interne. Envoyer un fichier par e-mail ne prend que quelques minutes. S’il faut attendre longtemps pour obtenir un serveur, cela pourra décourager plus d’une personne de respecter des mesures de sécurité élémentaires.
Quid en cas de transfert de données hors Union Européenne ?
Vous comptez transférer des données à un acteur établi hors Union Européenne ? Un tel transfert est possible mais il devra respecter quelques gardes-fous.
- Quel est le pays de destination des données ? Vérifiez son niveau de protection des données tel que perçu par les autorités de régulation européennes.
- La législation concernée est-elle considérée comme procurant un niveau de protection adéquat au regard des exigences européennes ? Si oui votre prestataire pourra se prévaloir d’une décision d’adéquation de la Commission Européenne pour sécuriser le transfert. Attention, dans le cas des Etats-Unis, le Privacy Shield a été récemment invalidé.
- A défaut ou en complément d’une décision d’adéquation, signez des clauses contractuelles types avec votre sous-traitant.
- En parallèle de cette signature, vous devrez analyser la réglementation dont dépend votre sous-traitant, notamment pour détecter d’éventuelles obligations de communication des données aux autorités publiques. Auquel cas, le Contrôleur européen à la protection des données (CEPD) a identifié une liste de mesures complémentaires (chiffrement, pseudonymisation…) qui vous permettront de maîtriser votre risque.
Conclusion : Envoyez vos fichiers en toute conformité avec le RGPD
Minimisation des fichiers, utilisation de méthodes de sécurité informatique à l’état de l’art…
Vous êtes maintenant prêts pour renforcer les process en place en interne et par lesquels vos collaborateurs partagent des données avec les fournisseurs et prestataires. Au plus grand bénéfice de votre conformité RGPD.
Article rédigé par Maxime Jaillet
Comment (01)