GDPR : L'application des règles est très coûteuse
À cet égard, le règlement est très clair. L'article 34 stipule : "Compte tenu de l'état de l'art et des coûts de mise en œuvre, ainsi que de la nature, de l'objet, du contexte et de la finalité du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et la liberté des personnes physiques, le responsable du traitement et le responsable du traitement mettent en place des mesures techniques et organisationnelles adéquates pour garantir un niveau de sécurité suffisant au risque, qui comprennent, entre autres, le cas échéant .... "(voir GDPR : le règlement complet).
TÉLÉCHARGEZ NOTRE EBOOK GRATUIT
Par conséquent, une petite entreprise dont la capacité économique n'est pas en mesure de garantir la un niveau de sécurité adéquatpar exemple, au traitement des données génétiques, n'exerce pas cette activité.
D'un autre côté, on ne s'attend pas à ce qu'elle puisse avoir le niveau de sécurité que l'on peut se permettre pour atteindre des entreprises plus structurées avec des liquidités plus importantes. Le règlement ne vous oblige donc pas à faire le pas le plus long de la jambe, mais à structurer des actions (même à coût financier nul) qui permettent à l'entreprise de réaliser les traitements qu'elle effectue, en garantissant les droits des personnes auxquelles les données se rapportent ; appliquez des mesures qui minimisent le risque qu'elle comporte (voir notre Livre électronique sur la GDPR).
En outre, le principe que le GDPR introduit est celui de l'imputabilité ou de la responsabilité du propriétaire de faire tout son possible pour garantir les droits des parties intéressées.
Que veut dire le règlement ?
Voyons quelques cas concrets pour comprendre :
- le partage du nom d'utilisateur et du mot de passe entre les employés d'une même réalité ;
- l'utilisation d'un même mot de passe pour plusieurs systèmes, sites, applications ;
- utilisation de mots de passe mnémotechniques (dates de naissance, noms de personnes, mots courants) ;
- l'utilisation d'applications, de systèmes sans codes d'accès ;
- utilisation de post-it avec le nom d'utilisateur et le mot de passe de l'ordinateur, l'imprimante, le réseau.
Il est évident que :
- s'il y a pas d'identifiants de connexionun attaquant éventuel n'aura pas à perdre de temps pour les trouver ;
- si 2 personnes partager les clésEn cas de problèmes, il sera difficile d'identifier les personnes qui ont commis une légèreté ;
- a mot de passe répété est une facilitation qui est fournie à ceux qui veulent la deviner pour réaliser des actions contraires à la loi : Je m'active pour le trouver une fois et le réutiliser ensuite dans tous les systèmes auxquels le détenteur légitime a accès ;
- a mot de passe mnémotechnique est la plus simple à reproduire puisqu'elle fait partie des premières tentatives que tout système automatique (et tout attaquant même peu expérimenté en cybersécurité) effectue avec un haut degré de réussite (si ce n'est total).
Quels sont les risques liés à la mise en œuvre du règlement ?
En cas de contrôle, dans toutes les situations énumérées, il sera difficile pour tout propriétaire d'entreprise de dire qu'il a fait tout son possible pour minimiser le risque du traitement. Éliminer ces mauvaises pratiques n'a pas de coût financier significatif, surtout si on le compare au risque encouru et à la sanction prévue en cas de découverte.
Il suffira de partir d'une responsabilisation de tous sur la valeur des données de l'entreprise (actions de formation) et d'utiliser des programmes désormais très répandus et, dans de nombreux cas, gratuits, appelés Gestionnaires de mots de passe (gestionnaires de mots de passe). Ils vous permettent de sauvegarder toutes les informations d'identification dont vous devez vous souvenir et de ne mémoriser que celles qui vous permettent d'accéder au programme.
L'installation simple d'un bon antivirus sur tous les systèmes et sa mise à jour régulière va non seulement dans le sens d'une amélioration de la sécurité des données (et donc des traitements effectués), mais permet aussi de réduire le risque d'un appareil hors service, de l'ensemble du système d'information de l'entreprise avec les coûts qu'un arrêt de production implique.