Aller au contenu principal

Les règles de sécurité

RGPD
Mise à jour le
25-07-2025

Les règles de sécurité des données à caractère personnel : les gestes à adopter

La question liée à la protection des données personnelles est un volet essentiel à la conformité au RGPD, d'où la nécessité de prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Cette page propose aux salariés de Territoires Numériques des gestes simples à adopter concernant la sécurité des données  :

 

Mettre à jour les mots de passe

La sécurité d’accéder à tous les services repose essentiellement sur des mots de passe, c’est pourquoi la faible sécurisation de ces mots de passe est considérée comme la première cause des attaques informatiques et du vol de données.

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Un bon mot de passe doit contenir au moins 12 caractères et 4 types différents (majuscules, minuscules, chiffres, caractères spéciaux)
  • Il ne dit rien sur vous : personne ne doit deviner votre mot de passe à partir du nom d’utilisateur/login, même en inversant les caractères, le numéro de téléphone, la marque de la voiture ou toute référence à quelque chose appartenant à l’utilisateur, être un mot ou une liste de mots du dictionnaire ou un nom propre, nom de lieu, être écrit sur un document et être communiqué à un tiers.
  • Ne demander jamais à un tiers de créer pour vous un mot de passe
  • Utiliser une phrase mnémotechnique pour vos mots de passe en utilisant une de ces 2 méthodes :

          -Méthode phonétique : « J’ai acheté huit cd pour cent euro cet après-midi » donnera   ght8CD%E7am                    

          -Méthode de la première lettre : « Un tien vaut mieux que deux tu l’auras » donnera   1tvmQ2tl'A                           

  • Utiliser un mot de passe différent pour chacun de vos comptes en ligne à caractère sensible : messagerie, plate-forme, etc.
  • Vérifier que chaque utilisateur dispose d’un login et d’un mot de passe uniques pour chaque compte.
  • Renouveler vos mots de passe selon une périodicité pertinente et raisonnable, et ne pas réutiliser le même mot de passe indéfiniment.
  • Obliger l’utilisateur à changer, dès sa première connexion, tout mot de passe attribué par un administrateur ou automatiquement

CE QU'IL FAUT EVITER 

  • Communiquer son mot de passe à autrui.
  • Stocker ses mots de passe dans un fichier en clair : sur un papier ou dans un lieu facilement accessible par d’autres personnes
  • Utiliser des mots de passe ayant un lien avec soi (nom, date de naissance, etc.).
  • Utiliser le même mot de passe pour des accès différents.
  • Conserver les mots de passe par défaut dans un navigateur internet, fichier texte, etc.  
  • S’envoyer par e-mail ses propres mots de passe

 

Authentifier les utilisateurs

Pour assurer qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un identifiant qui lui est propre et doit s’authentifier avant toute utilisation des moyens informatiques.

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Définir un identifiant unique par utilisateur et interdire les comptes partagés entre plusieurs utilisateurs.
  • Limiter le nombre de tentatives d’accès aux comptes utilisateurs sur les postes de travail et bloquer temporairement le compte lorsque la limite est atteinte
  • Mettre en œuvre des moyens techniques pour faire respecter les règles relatives à l’authentification (par exemple : blocage du compte en cas de non renouvellement du mot de passe sous 48H).
  • Utiliser des gestionnaires de mots de passe pour avoir des mots de passe différents pour chaque service comme Keepass :  vous n’aurez qu’à retenir qu’un seul mot de passe maître qui vous donnera un accès sécurisé à tous vous autres mots de passe
  • Obliger l’utilisateur à changer son mot de passe temporaire envoyé par email après réinitialisation

 

Gérer les habilitations

Limiter les actions des acteurs du SI à ce qui est souhaité par les responsables des traitements

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Définir des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l’accès des utilisateurs aux seules données strictement nécessaires à l’accomplissement de leurs missions
  • Supprimer les permissions d’accès des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource informatique, ainsi qu’à la fin de leur contrat.
  • Réaliser une revue annuelle des habilitations afin d’identifier et de supprimer les comptes non utilisés et de réaligner les droits accordés sur les fonctions de chaque utilisateur.

CE QU'IL FAUT EVITER

  • Créer ou utiliser des comptes partagés par plusieurs personnes.
  • Donner des droits d’administrateurs à des utilisateurs n’en ayant pas besoin.
  • Accorder à un utilisateur plus de privilèges que nécessaire.
  • Oublier de retirer des autorisations temporaires accordées à un utilisateur (pour un remplacement, par exemple).
  • Oublier de supprimer les comptes utilisateurs des personnes ayant quitté l’organisation ou ayant changé de fonction.

 

Sécuriser les appareils mobiles

Les appareils mobiles présentent des risques accrus de perte, ou de vol et sont souvent délaissés en termes de sécurité.

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Séparer les usages personnels des usages professionnels,
  • Il est interdit d'enregistrer des mots de passe concernant la plateforme sur son téléphone, en particulier celui du compte super administrateur
  • Protéger le téléphone avec un mot de passe ou un schéma de verrouillage pour l’activer quand il est en veille.
  • Activer le code PIN à chaque allumage
  • En déplacement, éviter les réseaux Wi-Fi publics car ils peuvent être contrôlés par des cybercriminels

CE QU'IL FAUT EVITER

  • Conserver des données confidentielles dans votre téléphone
  • Utiliser comme moyen de sauvegarde les services cloud installé par défaut sur votre téléphone 

 

Sécuriser les postes de travail

Un ordinateur de travail est un outil contenant des données professionnelles importantes (informations des personnels et adhérents, factures, etc …) ce qui nécessite des mesures de sécurité strictes

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Prévoir une procédure de verrouillage automatique de session en cas de non-utilisation du poste pendant un temps donné.
  • Utiliser des antivirus mis à jour régulièrement sur chacun de vos postes de travail.
  • Vérifier que la mise à jour automatique des systèmes d’exploitation est bien activée.
  • Recueillir l’accord de l’utilisateur avant toute intervention sur son poste
  • N'installer jamais des logiciels piratés ou d'origine douteuse.

CE QU'IL FAUT EVITER

  • Donner des droits administrateurs aux utilisateurs n’ayant pas de compétences en sécurité informatique.
  • Utiliser l’ordinateur à des fins personnelles ( navigation sur des sites web sensibles, consultation de votre boite email personnelle, etc.) 

 

Gérer les sauvegardes 

Dans nos usages professionnels, nous utilisons de nombreux appareils numériques pour créer et stocker des informations. Ces appareils peuvent cependant s’endommager ou être volés ou perdus, entraînant une perte, parfois irréversible, de vos données. Afin de prévenir un tel risque, il est fortement conseillé d’en faire des copies pour préserver vos données.

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Identifier les appareils et supports qui contiennent des données à caractère personnel
  • Effectuer des sauvegardes fréquentes des données, que celles-ci soient sous forme papier ou électronique.
  • Stocker les sauvegardes dans un endroit sûr comme un disque dur externe, qui puisse être déplacé dans un autre bâtiment ou dans une armoire sécurisée.
  • S’assurer régulièrement que le sauvegarde fonctionne bien

CE QU'IL FAUT EVITER

Conserver les sauvegardes au même endroit que les machines hébergeant les données.

 

Gérer la sous-traitance

Les données partagées avec des sous-traitants ou gérées par ces derniers doivent bénéficier de garanties suffisantes.

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Faire appel toujours et uniquement à des sous-traitants présentant des garanties suffisantes en termes de sécurité des données.  Exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information.  
  • Revue les clauses de contrat avec les sous-traitants, en définissant l’objet et la durée du traitement, le type de données personnelles et les catégories de personnes concernées, les obligations du responsable de traitement ainsi que les droits des personnes concernées. S’assurer si le sous-traitant procède à un transfert de données vers un pays tiers.
  • Superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant

CE QU'IL FAUT EVITER

Entamer la prestation de sous-traitance sans avoir signé un contrat ou un avenant avec le prestataire

 

Sécuriser les sites web

Tout site web doit garantir son identité et la confidentialité des informations traitées et transmises.

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Mettre en oeuvre le Protocol TLS sur tous les sites web, en vérifiant sa bonne mise en œuvre.
  • Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées
  • Demander le consentement de l’internaute si des cookies non nécessaires au service sont utilisés
  • Vérifier qu'aucun mot de passe ou identifiant ne passe dans les URL
  • Afficher les mentions obligatoires concernant les informations relatives à l'utilisation des cookies, les informations relatives à l'utilisation des données personnelles; 

CE QU'IL FAUT EVITER

  • Utiliser des services non sécurisés
  • Utiliser des comptes partagés entre plusieurs utilisateurs
  • Enregistrer les mots de passe dans le navigateur web
  • Utiliser des cases cochées par défaut pour recueillir le consentement de l’internaute

 

Sécuriser les échanges des données avec d'autres organismes 

La messagerie électronique ne constitue pas un moyen de communication fiable pour transmettre des informations, sans mesure complémentaire. Une simple erreur de manipulation peut conduire à divulguer à des destinataires non habilités des données personnelles et à porter ainsi atteinte au droit à la vie privée des personnes.

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Chiffrer les données à caractère personnel avant toute transmission en remplaçant chaque lettre par une autre 

Par exemple, on peut remplacer chaque lettre a par par la lettre D et chaque lettre b par la lettre E, etc...

  • S'assurer qu'il s'agit du bon destinataire
  • Utiliser des canaux distincts pour adresser d’une part le fichier contenant des données à caractère personnel et d’autre part la clé permettant d’ouvrir ce fichier (ex : le mot de passe)

CE QU'IL FAUT EVITER

  • Transmettre des fichiers contenant des données personnelles en clair via des messageries grand public.
  • Transmettre des fichiers contenant des mots de passe en clair via la messagerie.

 

Sécuriser les archives

Archiver les données qui ne sont plus utilisées au quotidien mais qui n’ont pas encore atteint leur durée de conservation. Ces archives doivent être sécurisées notamment si les données archivées sont des données sensibles

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Faire une liste des données qui doivent être archivées et le choix du mode d’archivage (utilisation courante de données, archivage intermédiaire, archivage définitif)

Exemple d’utilisation courante : pour les dossiers papier, il s’agirait d’un classeur accessible au sein d’un bureau placé dans un tiroir fermé à clé quand il n’est pas utilisé.

Exemple d’archivage intermédiaire : dans ce cas les dossiers papier seront classés dans la salle d’archivage fermée à clé au sein de l’organisme.

Exemple d’archivage définitif : à titre comparaison avec les dossiers papier, il s’agirait d’un classeur transmis à                      un organisme d’archivage.

  • Quel que soit le type d’archive, la consultation des données archivées doit être tracée.
  • Assurer un accès restreint aux seules personnes ayant un intérêt  en raison de leurs fonctions
  • Afin de se protéger contre le vol de données personnelles ou "sensibles", il est préférable de détruire les archives plutôt que de les jeter.

Par exemple : si vous avez la possibilité de faire un petit feu de joie pour brûler vos papiers sensibles,c'est bien mais si non vous pouvez utiliser un destructeur de documents, l'essentiel est d'éviter tout risque d'usurpation d'identité

CE QU'IL FAUT EVITER

  • Utiliser des supports ne présentant pas une garantie de longévité suffisante. À titre d’exemple, la longévité des CD et DVD inscriptibles dépasse rarement 4/5 années
  • Jeter des supports ayant contenu des données à caractère personnel sans que les données n’aient été supprimées de façon sécurisée.

 

Protéger le réseau informatique interne

Autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place.

LES PRÉCAUTIONS ÉLÉMENTAIRES

  • Séparer le réseau interne des réseaux ouverts aux publics
  • N’activer l’interface Wi-Fi que lorsque celle-ci doit être utilisée
  • Afin de garder le contrôle sur la connectivité du terminal, désactiver systématiquement l’association automatique aux points d’accès Wi-Fi configurés dans le terminal.
  • Éviter tant que possible de se connecter à des réseaux sans fil inconnus ou qui ne sont pas de confiance.
  • Ne pas brancher de bornes Wi-Fi personnelles sur le réseau de l’entité
  • En situation de mobilité, lors de toute connexion à des points d’accès Wi-Fi qui ne sont pas de confiance (par exemple à l’hôtel, la gare ou l’aéroport), préalablement à tout échange de données, utiliser systématiquement des moyens de sécurité complémentaires (VPN IPsec par exemple).
  • Lorsque l’accès au réseau Wi-Fi n’est protégé que par un mot de passe (WPA-PSK), il est primordial de changer régulièrement ce dernier mais également de contrôler sa diffusion

CE QU'IL FAUT EVITER

  • Mettre à disposition des utilisateurs un accès Internet non filtré.
  • Se connecter à distance sans le VPN
  • Enregistrer les mots de passe dans les navigateurs web