Bien identifier les données à sécuriser dans son SI

À l’heure de la digitalisation des entreprises et organisations publiques, la sécurité des données au sein des systèmes d’information devient un enjeu important pour respecter la réglementation européenne sur la gestion des données.

Dans un contexte où les organisations collectent de plus en plus de données, il est nécessaire de mieux gérer le traitement, le stockage et la sécurité des données afin de réduire le risque cyber.

Alors, s’il est essentiel pour une entreprise ou un organisme public de sécuriser les données personnelles collectées, il n’est pas toujours évident de faire la distinction entre données sensibles et données personnelles.

Qu’est-ce que les données sensibles ?

Selon le RGPD, règlement général pour la protection des données personnelles, les données sensibles sont des données à caractère personnel qui donnent des informations révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale.

Ce sont également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Ces données peuvent être collectées dans le cas de traitements spécifiques par l’organisation. A noter que pour pouvoir collecter ces informations sensibles la personne doit avoir donné son consentement explicite. Le consentement n’est pas requis si ces données sont nécessaires à la sauvegarde des intérêts vitaux de la personne concernée.

Il convient aux entreprises et aux organismes publics d’établir une stratégie data pour améliorer la gestion des données et former les collaborateurs pour les sensibiliser à la notion de donnée sensible.

Quelle distinction fait-on entre les données personnelles et les données sensibles ?

Une donnée à caractère personnelle est une information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.

Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.

Peu importe que ces informations soient confidentielles ou publiques. Ces données personnelles peuvent être collectées stockées et traitées en respectant une durée de conservation prédéfinie à l’avance par l’organisation ou en rapport avec le référentiel des durées de conservation de la CNIL.

Seulement, depuis la mise en place du règlement général sur la protection des données, il est impératif pour une entreprise ou un organisme public de sécuriser efficacement ces données personnelles.

Comment identifier les données sensibles ou personnelles collectés dans son SI ?

Dans le cadre d’une politique de gouvernance de données, les entreprises et les organisations publiques doivent définir l’ensemble des processus qui permet d’exploiter au mieux les informations par tous les collaborateurs.

La première étape dans une stratégie de gouvernance de données est de cartographier l’ensemble des informations collectées dans son SI. Cette cartographie procédera à une analyse complète des données collectés dans le but d’harmoniser et mettre en commun l’information en temps réel.

Cette analyse sera à même de détecter les données sensibles dont le traitement est de principe interdit, des données personnelles qui sont à sécuriser et à trier afin que chaque collaborateur au sein de chaque service puisse les exploiter rapidement et efficacement.