N’exposez pas vos données à des regards non autorisés

Données aux regards non autorisé

N’exposez pas vos données sensibles à des regards non autorisés, que ce soit un département interne à votre entreprise ou des partenaires externes !


Dans le cadre d'un projet lié à la RGPD ou non, vous avez certainement été confronté au fait de devoir confier tout ou partie de vos données à un autre département, un partenaire, un fournisseur informatique nearshore ou offshore.

Un exemple intéressant, suite à la mise en demeure de la société Singlespot en octobre 2018, qui a également été mise à défaut d'avoir exposé ses données de productions à des fins de tests et développement.

Une remarque de la CNIL démontre l’intérêt d’anonymiser les données quand elles sont utilisées à des fins de développement.

"En second lieu, la délégation a été informée que les équipes de développement de la société font des tests de développement en utilisant les données présentes dans la base de données de production correspondant à des données à caractère personnel réelles. Or, utiliser des données à caractère personnel réelles pour les phases de développement et de test présente un risque pour celles-ci, notamment en cas de perte, de modification non autorisée, d’erreur ou d’accès par des personnes non autorisées. En particulier, il est rappelé que les équipes de développement et de tests n’ont pas nécessairement à connaître des données issues de la base de données de production et que, dans l’hypothèse où des données réelles seraient néanmoins requises, celles-ci devraient être anonymisées. Ces faits constituent un manquement aux dispositions de l’article 32-1 b) du Règlement général sur la protection des données qui dispose que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : […] des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. Il est rappelé qu’en application des articles 121-2, 131-37, 131-38 et 226-17 du Code pénal combiné le fait, pour une personne morale, de procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni d’une amende de 1 500 000 euros."

Source de l'article sur : legifrance.fr

Et pour plus de détails sur l'outil d'anonymisation des données "Krumble" ici : https://alrix.ch/services/krumble/