Créée en 2007, la journée mondiale de la protection des données vise à sensibiliser les internautes et les entreprises sur la protection des données personnelles.
Sécurisation des données et mise en place du RGPD.
La journée du 28 janvier initiée par le Conseil de l’Europe est l’occasion de reprendre les bases et d’introduire le nouveau règlement européen, le RGPD (Règlement Européen sur la Protection des Données) qui entre en vigueur ce 25 mai 2018. Arnaud, notre administrateur système et réseaux vous donne ses astuces pour protéger vos données personnelles et celles de vos clients.
La protection des données appliquée à l’ensemble de l’entreprise
La protection de vos données personnelles ne se résume pas uniquement à la sécurité mise en place sur un site internet. Il existe différentes façons de protéger vos données y compris lorsque vous envoyez un e-mail.
Comment protéger vos données et celles de vos utilisateurs sur votre site internet ?
Pourquoi devez-vous passer votre site en HTTPS ?
La protection des données de vos utilisateurs sur un site internet passe par la mise en place du certificat SSL. Ce certificat assure une connexion sécurisée entre le serveur web et votre navigateur. Google sanctionne dorénavant les sites internet n’ayant pas le protocole HTTPS (combiné du protocole HTTP et du certificat SSL). Cette sanction passe par le déclassement du site dans les résultats de recherches de Google. Un autre élément doit vous pousser à passer votre site internet en HTTPS : près de 86% des utilisateurs sont rassurés sur des sites montrant des indicateurs de sécurité.
Après installation, vous devez tester votre certificat SSL pour être certain que celui-ci ne comporte pas d’erreur avec des outils tels que Qualys Lab. Avec l’entrée en vigueur du RGPD, la mise en place du protocole HTTPS pour les sites collectant des données personnelles semble désormais être une obligation.
Intégrez un captcha dans votre formulaire !
Cliquez sur la girafe, réécrivez le texte, combien font 2+2 … Non, les formulaires captcha ne sont pas là pour vous embêter ! Cette méthode permet aux sites internet d’être certains que vous êtes humain et non un robot essayant de s’introduire sur le site web. Le captcha est une sécurité pour éviter qu’un site internet soit submergé de spams et de publicités en tous genres … Cette technique permet de différencier un humain d’un logiciel malveillant susceptible de récupérer les données de votre site internet.
Maintenez votre CMS à jour !
Il est très important de mettre à jour votre CMS. En effet, les mises à jour permettent de réparer d’éventuelles failles de sécurité. Les CMS évoluent en fonction des tendances Web ce qui impact les modules, les plugins, le temps de chargement … A3 Web vous propose des forfaits de maintenance permettant de suivre les mises à jour de manière instantanée sur les différents CMS. Vous évitez ainsi toutes failles de sécurité ou problèmes de compatibilité.
Configurez votre serveur : protégez vos données et celles de vos clients.
Évitez l’utilisation du compte super utilisateur, root est le l’utilisateur qui a tous les droits sur votre système. Vous devez interdire l’accès root à votre serveur. Nous vous conseillons également de configurer et paramétrer tous les services et de ne pas utiliser la configuration par défaut. L’utilisation du protocole SSH dans la transmission de données est recommandé, il impose un échange de clés de cryptage entre l’ordinateur et le serveur.
Il est déconseillé d’utiliser des sites tiers grand public pour partager des données sensibles dans le cadre professionnel. Vous ne savez pas si elles sont stockées, détruites, archivées … Il est préférable d’utiliser une solution développée en interne.
Bien évidemment, veillez à vérifier que votre pare-feu soit bien activé sur l’ensemble des ordinateurs de votre société. Il permet de protéger vos ordinateurs d’éventuelles intrusions provenant du réseau internet.
Sécurisez vos mails et limitez les accès aux données sensibles.
Nous avons tous conservé ce mail contenant le mot de passe d’un site internet que nous avions peur d’oublier. Une pratique dangereuse dont les conséquences sont parfois insoupçonnées : usurpation d’identité, fraudes à la carte bancaire, espionnage industriel …
Lors d’envoi d’informations confidentielles : mots de passe et autres accès, vos mails doivent passer par une solution de messagerie cryptée. Vous pouvez utiliser des sites sécurisés avec accès aux données à usage unique ou protégé par un mot de passe. Le site privatebin.net vous propose de crypter vos informations en transférant un lien au destinataire consultable une seule fois, après votre message s’efface et le lien devient inactif. Il n’y a alors aucun risque de fuite ou capture de données. Les pièces jointes sont des données vulnérables, crypter les informations et protéger leur ouverture par un mot de passe.
Limiter et maîtriser l’accès aux données par le personnel. Toutes les données de l’entreprise ne doivent pas être nécessairement accessibles à l’ensemble des salariés. Seules les données concernant leur travail doivent pouvoir être en leur possession. Il ne s’agit pas de sanction ou de rétention d’information mais simplement d’éviter les potentielles fuites de données.
RGPD : soyez prêts !
Le RGPD entre en vigueur le 25 mai 2018. Nous vous donnons quelques conseils pour mieux appréhender ce sujet.
Quelques points du RGPD à ne pas négliger
Vous devez fournir aux clients lors de la collecte des données : les informations sur l’identité et les coordonnées du responsable de traitement, les finalités du traitement auquel sont destinées les données, les destinataires des données ainsi que leur durée de conservation. Ces informations doivent être consultable à tout moment par la CNIL. Il s’agit là de la notion de transparence des informations collectées. Si vous avez l’intention d’effectuer un transfert des données vers un pays tiers, l’utilisateur doit également en être informé.
L’autre point très important du RGPD est le consentement. En effet, vous devez pouvoir prouver à quel moment et sous quelles conditions le consentement de l’utilisateur a été effectué. De plus, les utilisateurs dont vous avez les données doivent pouvoir très facilement accéder à leur donnée et lever leur consentement. Sachez que le silence d’un individu ne vaut pas consentement.
L’ensemble de vos données stockées ou en transit doivent être cryptées. La pseudonymisation (ou anonymisation) des utilisateurs est recommandée par le RGPD.
Attention, en cas de violation de données à caractère personnel vous êtes dans l’obligation de prévenir la CNIL le plus rapidement possible (72 heures max.). Si ce vol des données comporte un risque important pour la personne concernée, vous devez le lui en informer également (vol de mot de passe, numéros de carte bancaire …).
Comment envoyer des newsletters conformes au RGPD ?
Si vous envoyez des newsletters ou campagne e-mailing à votre réseau de prospects ou clients, vous devez obtenir le consentement de la personne de manière claire et transparente. Les cases pré-cochées sont sanctionnées par le RGPD. Ce consentement doit être prouvable et traçable : à quel moment, sous quelles conditions et combien de temps seront conservées les données. L’utilisateur doit pouvoir retirer son consentement à tout moment.
Vous devez aussi prouver que votre base de données réalisées avant la mise en place du RGPD est bien conforme au nouveau règlement. Il y a un vrai travail de mises en conformité sur l’ensemble de vos bases de données.
L’entrée en vigueur du Règlement Général sur la Protection des Données oblige les entreprises à protéger et sécuriser l’ensemble des données. Il permet par ailleurs la mise à jour complète du système de sécurité. Véritable enjeu stratégique : gagner et renforcer la confiance des clients vis-à-vis de votre entreprise.
Optez pour la sécurité et la protection de vos données personnelles !
Notre équipe de développeur vous propose les solutions adaptées à votre site internet.
Contactez-nous !