Banniere-en-forme-de-vague

Les news RGPD & cyber

RGPD-méthode-EBIOS-dans-le-cadre-des-AIPD 31 Jan, 2021

EBIOS dans le cadre de l’AIPD

Imaginez que vous travaillez sur un projet et qu’à son lancement, la CNIL frappe à votre porte ou que les données récoltées et analysées pour mener à bien ce projet soient récupérées par des hackers ? Panique à bord, comment s’assurer que les données les plus pertinentes et les plus lucratives ont bien été sécurisées ? La réponse avec 2 termes : AIPD, EBIOS.

I AIPD : Kezako

L’Analyse d’Impact relative à la Protection des Données (AIPD ou PIA en anglais) est un processus qui s’intéresse aux risques encourus par les droits et libertés des individus. Elle permet la mise en œuvre concrète du principe de responsabilisation des organismes. En effet, elle aide à construire des traitements de données respectueux de la vie privée. Elle permet également de démontrer la conformité de l’entreprise au RGPD.

En qualité d’entité qui traite des données, la question principale à se poser est : que risquent les personnes dont je traite les données ? Pour pouvoir répondre à cette question, il faut comprendre l’objectif principal de l’AIPD. Cet outil sert à identifier les risques potentiels auxquels un traitement de données pourrait exposer ces personnes.

Le responsable de traitement d’une entité doit déterminer le ou les traitements qu’il va mettre en œuvre et qui présente(nt) un risque élevé pour les droits et libertés des personnes. C’est pour cela qu’il a l’obligation de réaliser une AIPD. Il pourra s’appuyer sur la liste des traitements pour lesquels l’AIPD est nécessaire ; liste élaborée par la CNIL.

En qualité d’entité qui récolte des données et pour tout responsable de traitement, voici les problématiques principales en matière de réalisation d’AIPD auxquelles il faudra apporter des solutions :

  • Qu’est-ce qu’un risque élevé ? Quels critères déterminent l’existence d’un risque élevé ?
  • Comment réaliser cette analyse d’impact ?

    • Pour répondre à ces questions, deux exemples :

    Exemple 1 : le traitement par un hôpital des données de santé, des données génétiques de ses patients

    Existe-t-il un risque élevé ? Oui ! Les données liées à la santé d’une personne sont des données à caractère personnel hautement sensibles. Ce sont des données qui concernent des personnes qualifiées de vulnérables. Ces données sont introduites dans un système informatique hospitalier et sont traitées à grande échelle. Les données de santé doivent être rigoureusement protégées par l’infrastructure et le système informatique qui les conservent pour éviter tout alternation ou effacement en cas de cyber attaque. Ainsi, il conviendrait même en matière de sécurité de données que l’hôpital anonymise ces données.

    Les critères apportés pour démontrer l’existence d’un risque élevé permettent de certifier que l’entité ou le responsable de traitement, ici l’hôpital, doit effectuer une AIPD. Celle-ci doit être réalisée en fonction de la typologie de la donnée – est-ce une donnée à caractère personnel hautement sensible ou non ? Comment la sécuriser ?

    Exemple 2 : La surveillance par une entreprise des activités des employés à savoir les activités qui émanent de leur poste de travail, sur internet etc.

    Existe-t-il un risque élevé ? Sans doute ! L’entreprise surveille ses salariés et notamment leur faits et gestes sur un des objets du poste de travail : l’ordinateur. Le risque serait élevé si la surveillance était systématique. Mais, on peut arguer qu’il s’agit d’un risque élevé sans nécessité de savoir si cette surveillance est systématique puisque l’entreprise va récolter des données via la surveillance. De plus, ces données concerneront des personnes dites vulnérables.

    A nouveau, les critères apportés énoncent l’existence d’un risque élevé pour les droits et libertés des salariés.

    L’hôpital et l’entreprise qui mettent en œuvre une AIPD vont chercher à être en conformité avec les règles juridiques en matière de protection des données. Ainsi, l’AIPD pourra être considérée comme une preuve de cette volonté de mise en conformité au RGPD.

    II En quoi consiste la méthode EBIOS

    La méthode EBIOS est une méthode élaborée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) qui s’utilise dans le processus managérial. Il s’agit d’une méthode d’appréciation des risques et des traitements de risques numériques.

    L’ANSSI a créé et mise en œuvre cette politique de management en ayant recours à une approche globale et pas seulement technique du risque numérique. Le but est d’améliorer le processus décisionnel. La mise en œuvre de cette méthode s’effectue en cinq étapes.

    Avec la méthode, l’entreprise va pouvoir anticiper les cyberattaques, déterminer les risques acceptables et inacceptables. Par conséquent, l’entité pourra mettre en place un processus de mesure via une échelle de niveau de sécurité.

    III La plus-value : AIPD + EBIOS

    Les entreprises et les organismes publics devront de plus en plus faire face à des cyberattaques. Pour mener à bien une démarche de sécurité numérique, il serait opportun pour eux d’utiliser et de faire lier la méthode EBIOS et l’Analyse d’impact. En effet, s’appuyer sur ces deux processus permettra de :

  • Anticiper des cyberattaques ;
  • Améliorer la protection des données à caractère personnel ;
  • Favoriser une meilleure gestion des risques numériques via une politique de sécurité avec la mise en œuvre d’une AIPD ;
  • Favoriser une méthode de sécurité des infrastructures et de la donnée sensible grâce à l’échelle de niveau de sécurité ;
  • Favoriser constamment les droits et libertés des personnes ;
  • Rester en conformité avec le RGPD et prouver sa volonté d’être en conformité avec le texte européen.

    • Illustration par freepik
    Article précédent Article suivant
    Auteur

    Fondatrice du cabinet de conseil et d'ingénierie LS Consulting, spécialiste en intelligence économique, juridique et numérique.

    - Léa Selebiro