- Produits SimonsVoss Technologies
- Catalogues
- Actualités
La protection des données personnelles passe aussi par le contrôle des accès physiques Actualité du
SimonsVoss et GDRP
Relativement peu pris en compte par les entreprises françaises, les contrôles d’accès physiques aux bâtiments sont également concernés par le RGPD, en tant que mesure de sécurité participant de la conformité au règlement.
Car il ne sert à rien de disposer d’un système informatique hautement sécurisé et tracé, accessible par une porte verrouillée mécaniquement, sans possibilité de suivi des accès.
Tribune signée par Jean-Philippe Vuylsteke, Président de SimonsVoss France
L’esprit du RGPD
Le texte du RGPD, aussi long et détaillé soit-il, a tendance à laisser de côté un aspect fondamental de la sécurité en entreprise pour la protection des données, que sont les accès physiques. Pourtant, l’esprit y est bien puisque les auteurs ont veillé à le préciser au considérant 39 : « Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement. »
Y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement. En d’autres termes, les entreprises se sont-elles assurées que l’inviolabilité de leur système d’informations passe aussi par l’assurance que personne n’entrera dans la salle serveurs ? Ou dans n’importe quel bureau contenant des données personnelles, même sur papier ?
La donnée numérique, les autres et le retard français
C’est évidemment la donnée numérique qui vient en premier à l’esprit car c’est elle qui fait les choux gras de la presse. Dès lors, il faut savoir aussi prévenir les intrusions physiques dans les salles machines et les unités d’alimentation.
Mais si l’on ne prend que l’exemple des ressources humaines, les bureaux de sa direction ont très certainement dans leurs tiroirs de nombreux CV imprimés pour les besoins de l’entretien, des dossiers accumulés composés de documents médicaux ou bancaires, et bientôt, des informations ayant trait au patrimoine des salariés avec la prochaine mise en œuvre du prélèvement des impôts à la source. Ce sont des données éminemment personnelles. Et même sur papier, elles relèvent de la même protection qu’une donnée personnelle numérique, sans conteste.
Or à ce jour, le taux d’équipement des entreprises françaises en termes de sécurité et de contrôle des accès physiques reste marginal. Les ouvertures mécaniques tiennent le haut du pavé, alors qu’elles n’offrent aucune protection qu’un bon serrurier ne saurait faire sauter, et sont incapables de tracer automatiquement une intrusion. C’est une situation finalement très paradoxale, compte tenu de l’attachement des Français au respect de leurs données personnelles.
Et le contrôle CNIL dans tout ça ?
Dans le nouveau règlement, il est attendu des entreprises qu’elles démontrent leur conformité avec la réglementation en cas de contrôle de la CNIL. Il faut prendre en compte cette obligation depuis ses deux facettes.
D’une part, il y a les mesures à prendre. D’autre part, l’obligation de tenir à jour son registre des activités de traitements. Ce sont deux aspects différents d’une même démarche.
Quelles mesures sont à prendre ? Si l’on mène correctement le processus de cartographie des données en entreprise (recensement de toutes les données, leurs traitements, leurs flux, leurs acteurs), il apparaît rapidement qu’un contrôle d’accès professionnel par la mise en place de systèmes numériques devient indispensable.
Le contrôle numérique des accès physiques et le filtrage des accès qu’il permet offre aux entreprises un panel de moyens pour détecter rapidement toute intrusion d’une part et régler finement les autorisations d’accès par zones définies d’autre part, avec des révocations à la volée. Seul un système de double intelligence, serrure et identifiant, garantit en revanche la sécurité des accès, n’en déplaise à l’industrie hôtelière.
Il va de soi qu’un système de contrôle numérique des accès crée de facto de nouveaux jeux de données susceptibles d’être considérés comme portant sur des données personnelles et dont le traitement doit entrer au registre des activités de traitements.
S’il n’existe pas encore de référentiels RGPD, la CNIL maintient sa norme simplifiée NS-042 concernant les traitements mis en œuvre sur les lieux de travail pour la gestion des contrôles d’accès des salariés et des visiteurs aux locaux, depuis et vers l’extérieur.
Mais au sein même des locaux, seules certaines zones identifiées faisant l’objet d’une restriction de circulation justifiée par des mesures de sécurité sont acceptées. Ce que la cartographie des données bien réalisée révélera au titre de la conformité au RGPD.
Relativement peu pris en compte par les entreprises françaises, les contrôles d’accès physiques aux bâtiments sont également concernés par le RGPD, en tant que mesure de sécurité participant de la conformité au règlement.
Car il ne sert à rien de disposer d’un système informatique hautement sécurisé et tracé, accessible par une porte verrouillée mécaniquement, sans possibilité de suivi des accès.
Tribune signée par Jean-Philippe Vuylsteke, Président de SimonsVoss France
L’esprit du RGPD
Le texte du RGPD, aussi long et détaillé soit-il, a tendance à laisser de côté un aspect fondamental de la sécurité en entreprise pour la protection des données, que sont les accès physiques. Pourtant, l’esprit y est bien puisque les auteurs ont veillé à le préciser au considérant 39 : « Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement. »
Y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement. En d’autres termes, les entreprises se sont-elles assurées que l’inviolabilité de leur système d’informations passe aussi par l’assurance que personne n’entrera dans la salle serveurs ? Ou dans n’importe quel bureau contenant des données personnelles, même sur papier ?
La donnée numérique, les autres et le retard français
C’est évidemment la donnée numérique qui vient en premier à l’esprit car c’est elle qui fait les choux gras de la presse. Dès lors, il faut savoir aussi prévenir les intrusions physiques dans les salles machines et les unités d’alimentation.
Mais si l’on ne prend que l’exemple des ressources humaines, les bureaux de sa direction ont très certainement dans leurs tiroirs de nombreux CV imprimés pour les besoins de l’entretien, des dossiers accumulés composés de documents médicaux ou bancaires, et bientôt, des informations ayant trait au patrimoine des salariés avec la prochaine mise en œuvre du prélèvement des impôts à la source. Ce sont des données éminemment personnelles. Et même sur papier, elles relèvent de la même protection qu’une donnée personnelle numérique, sans conteste.
Or à ce jour, le taux d’équipement des entreprises françaises en termes de sécurité et de contrôle des accès physiques reste marginal. Les ouvertures mécaniques tiennent le haut du pavé, alors qu’elles n’offrent aucune protection qu’un bon serrurier ne saurait faire sauter, et sont incapables de tracer automatiquement une intrusion. C’est une situation finalement très paradoxale, compte tenu de l’attachement des Français au respect de leurs données personnelles.
Et le contrôle CNIL dans tout ça ?
Dans le nouveau règlement, il est attendu des entreprises qu’elles démontrent leur conformité avec la réglementation en cas de contrôle de la CNIL. Il faut prendre en compte cette obligation depuis ses deux facettes.
D’une part, il y a les mesures à prendre. D’autre part, l’obligation de tenir à jour son registre des activités de traitements. Ce sont deux aspects différents d’une même démarche.
Quelles mesures sont à prendre ? Si l’on mène correctement le processus de cartographie des données en entreprise (recensement de toutes les données, leurs traitements, leurs flux, leurs acteurs), il apparaît rapidement qu’un contrôle d’accès professionnel par la mise en place de systèmes numériques devient indispensable.
Le contrôle numérique des accès physiques et le filtrage des accès qu’il permet offre aux entreprises un panel de moyens pour détecter rapidement toute intrusion d’une part et régler finement les autorisations d’accès par zones définies d’autre part, avec des révocations à la volée. Seul un système de double intelligence, serrure et identifiant, garantit en revanche la sécurité des accès, n’en déplaise à l’industrie hôtelière.
Il va de soi qu’un système de contrôle numérique des accès crée de facto de nouveaux jeux de données susceptibles d’être considérés comme portant sur des données personnelles et dont le traitement doit entrer au registre des activités de traitements.
S’il n’existe pas encore de référentiels RGPD, la CNIL maintient sa norme simplifiée NS-042 concernant les traitements mis en œuvre sur les lieux de travail pour la gestion des contrôles d’accès des salariés et des visiteurs aux locaux, depuis et vers l’extérieur.
Mais au sein même des locaux, seules certaines zones identifiées faisant l’objet d’une restriction de circulation justifiée par des mesures de sécurité sont acceptées. Ce que la cartographie des données bien réalisée révélera au titre de la conformité au RGPD.