TOUT D’ABORD, UN CONSTAT
Force est de constater que la prise en compte de la protection des données à caractère personnel (DCP) dès les phases amont d’un nouveau projet informatique n’est pas encore entrée dans les moeurs, ni des éditeurs de solutions, ni des donneurs d’ordre ou acheteurs.
Les contrôles de conformité de nature juridique réalisés par le CIL ou les audits de sécurité réalisés par le RSSI montrent que des efforts sont encore à consentir dans ce domaine.

Voici quelques exemples de sujets faiblement pris en compte voire totalement oubliés dans les démarches projets :
· L’application informatique déployée récemment ne prévoit pas de purge automatique des données des DCP dont le traitement n’est plus nécessaire.
· Les DCP restent stockées dans la base de données active pour une durée illimitée alors qu’elles devraient basculer dans une base de données intermédiaire, voire dans une base d’archivage en fonction de la finalité du traitement et du cadre légal applicable aux DCP concernées.
· L’application informatique ne prévoit pas de chiffrement des DCP permettant de limiter leur lisibilité aux seuls professionnels habilités à y accéder.
· Les DCP échangées en pièce jointe de courriel ne sont pas chiffrées ou protégées contre une lecture illicite notamment lors de l’usage de la messagerie sur internet.
· Les traces embarquées dans les applications informatiques sont difficilement exploitables (si elles existent) pour identifier l’origine d’une violation1 sur les DCP.
· Les supports amovibles (exemple : clé USB) utilisés par les utilisateurs contiennent des DCP et ne sont pas protégés en cas de perte ou de vol.

Télécharge le livre blanc