La RGPD pour les petites structures , 2/ on verra bien

Pourquoi sécuriser son ordinateur ?

Cela est encadré par l'article 32 que je m'empresse de vous recopier afin de vous évitez toute recherche.

Article 32 Sécurité du traitement

1.Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2.Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3.L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4.Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

Ceci étant dit, et maintenant, qu'est-ce qu'on fait de tout ça ?

On décortique

Le "1-b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;" nous oriente très clairement vers la sécurisation de l'ordinateur, même si ce ne sera surement pas que la seule action. Très clairement, si vous avez un virus qui exfiltre des données, la confidentialité n'est plus assurée. S'il s'agit d'un cryptovirus, genre wannacry, l'intégrité de vos données sont à oublier.

De plus dans l'article "Article 83 Conditions générales pour imposer des amendes administratives", dont voici un extrait

1.Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2.Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants:

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;

b) le fait que la violation a été commise délibérément ou par négligence;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32; e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;

Donc, en gros, si votre ordinateur n'est pas entretenu, et que c'est la 15eme fois qu'il est contaminé par un virus, ce ne sera pas la même chanson que si votre ordinateur est entretenu correctement.

Et la sauvegarde ?

Elle est très clairement évoquée dans le 32-1-c) "des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;"

Et le chiffrement ?

Pourquoi chiffrer ? Tout simplement à cause de l'article 34-3a

3.La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en oeuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

Donc ?

Et bien, en gros, il vaudra mieux avoir un ordinateur bien entretenu avec une solution de sauvegarde plutôt que de ne pas s'occuper de son ordinateur !!!

Et tout ça pour la modique somme de .........

Compliquer à dire, en gros, le prix d'un disque dur externe (#100€TTC) , un logiciel de sauvegarde (a partir de 50€TTC) et l'entretien de votre ordinateur.

Pour le coût de ce dernier, cela dépend de l'ordinateur, de l'état ou il est, du système d'exploitation, s'il s'agit de prestations d'entretien ponctuelles ou si vous choisissez des abonnements,....Même si l'article 32-1-d nous orienterait plus vers des formules avec abonnement.

Pour le chiffrement, il existe des logiciels gratuits, et pour les téléphones portables, c'est généralement intégré.

Pour une entreprise en solo, avec généralement une journée d'accompagnement, on peut être à niveau pour l'aspect technique.

Pour le juridique et les habitudes de travail, c'est une autre histoire !!

Quand vous avez passez le permis, on vous a expliqué le code de la route. Quand à ce que vous en faites maintenant (rouler à 200 sur l'autoroute, griller les feux rouges, ....) cela ne concerne plus l'auto-école ou l'inspecteur qui vous à donné le permis.

En tout cas, ce n'est pas forcément la ruine !!!!

Fin de cet article

J'espère que cet article vous aura éclairé (vu que j'apporte mes lumières !!) et aidé.

Si vous avez des suggestions ou des questions n'hésitez pas !!