Dans leur « Livre blanc : bonnes pratiques RGPD », ANITEC et CNPP ont identifié les principes devant encadrer la collecte et le traitement de données personnelles du secteur des intégrateurs, installateurs-mainteneurs de technologies connectées, sécurisées et pilotées. Du bel ouvrage.
L’objectif du groupe de travail, qui a rédigé ce livre blanc, était d’aboutir à la publication d’un référentiel sectoriel qui a pour objet d’accompagner les prestations des intégrateurs, installateurs et mainteneurs pour :
• identifier les produits des fabricants disposant d’une sécurité native ou en intégrant la protection des données personnelles le plus en amont possible de la conception des installations jusqu’à la maintenance,
• assurer la maîtrise des données, tout en prenant en compte les réalités du secteur. Pour l’ANITEC (Alliance Nationale des Intégrateurs de TEChnologies connectées, sécurisées et pilotées) et le CNPP (expert en prévention et en maîtrise des risques), cet ouvrage vise deux objectifs. Premièrement, responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) et deuxièmement crédibiliser la régulation grâce à une coopération renforcée entre ces entreprises et les autorités de protection des données.
Ce livre blanc présente quatre scénarios permettant d’illustrer ce secteur :
- La gestion des données clients avec par exemple le cas d’un installateur de système d’alarme intrusion : les mesures applicables à ce scénario doivent permettre à l’installateur de garantir que les données de ses clients sont protégées contre le vol ou la perte (redondance) ;
- Les données générées par l’installation avec cas d’une installation de vidéosurveillance / vidéoprotection : les images stockées sont des informations relevant des données personnelles et leur diffusion doit pouvoir être contrôlée ;
- Les données communiquées à l’extérieur : il s’agit d’apporter aux clients des éléments tangibles prouvant l’engagement du télésurveilleur pour la protection des données qu’il traite ;
- Les données accessibles lors des opérations de maintenance : les mesures applicables à ce scénario doivent permettre au mainteneur de prouver qu’il est en mesure de s’engager sur une certaine continuité du niveau de protection des données.
Le groupe de travail qui a rédigé ce livre blanc rappelle à juste titre que les risques d’un traitement de données personnelles à grande échelle sur les droits et libertés des personnes concernées doivent être évalués et donc identifiés :
- Les sources de risques et leurs capacités (par exemple, un pirate informatique)
- Les supports des données personnelles (par exemple, une base de données) ;
- Les événements redoutés et leurs impacts pour les personnes concernées (par exemple, l’accès illégitime aux données pour leur exploitation) ;
- Les menaces et leurs probabilités de survenance (par exemple, l’interception des communications par une attaque de type man in the middle).
L’identification des facteurs de risques permet de concevoir des mesures adaptées visant à assurer la sécurité et la confidentialité des données. Ce guide détaille notamment l’analyse d’impact (ou AIPD) qui est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.
Des conseils fort utiles, car l’intégrateur a différentes responsabilités et obligations (de sécurité, de renseignements et de conseils.
Ce livre blanc a un double mérite : être très complet et accessible. Ce n’est pas toujours le cas pour certains guides qui se contentent de survoler le RGPD.
Source: ANITEC et CNPP