Comment protéger ses données le mieux possible ? FNTP
La FNTP
La FNTP
La Fédération Nationale des Travaux Publics agit au service de ses 8 000 entreprises adhérentes avec son réseau de Fédérations Régionales et de Syndicats de Spécialités
Infodoc
Infodoc
Toute l’information de référence et l’actualité réglementaire et technique utile à l’entreprise de Travaux Publics
Salaires minima & Indemnités de Petits Déplacements 2023
Outils
Outils
Des outils interactifs pour faciliter la vie des entreprises et des donneurs d’ordre
Dossiers
Dossiers
Tous les dossiers d'information sur les actualités utiles à l’entreprise de Travaux Publics.
Retour

Comment protéger ses données le mieux possible ?

13 avril 2021
L’importance et la protection des données des entreprises n’est plus à démontrer. Cependant les entreprises doivent rester vigilantes, même si elles ont souscrit un contrat avec des tiers. Voici quelques rappels.

Comment cette protection s’effectue-t-elle ?

Quel que soit le type d’hébergement du fournisseur et son engagement, l’entreprise est toujours responsable de la gestion de ses données.

Afin de faire face aux différents risques qui peuvent survenir concernant leurs données (cyberattaque notamment) il est recommandé aux entreprises de rédiger un Plan de Reprise d’Activité (PRA). Ce plan doit permettre à l'entreprise de continuer à fonctionner quand survient une altération plus ou moins sévère de son système d’information. Ce plan doit prévoir la restauration des systèmes et des données.

Les engagements respectifs entre hébergeur et entreprise apparaissent soit dans le contrat, soit dans les conditions générales. Il convient d’être attentif sur leur rédaction.

Comment s’assurer que la protection de l’hébergeur est efficace ?

Lorsqu’une entreprise souscrit un engagement, elle considère la plupart du temps que c’est à l’hébergeur d’assurer une réplication des données (sauvegarde ou "redondance" en informatique).

Malheureusement, des événements récents ont démontré que cette sauvegarde supplémentaire était parfois assurée au même endroit…dans une autre salle !

Conseil : l’entreprise doit donc vérifier que la sauvegarde de ses données est disponible sur un autre site, dans un autre endroit géographique. Ou bien chez un autre hébergeur.

Qu’en est-il des données personnelles ? La réponse de la CNIL

La CNIL a publié une fiche technique sur la perte des données personnelles et les obligations de notification des entreprises. En effet, la destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD .

Cas dans lesquels une notification à la CNIL n'est pas nécessaire :  si la mise en œuvre d’un plan de reprise d’activité (PRA) a permis d’assurer la continuité du service, si les données ont été restaurées à partir des sauvegardes, sans conséquence significative pour les personnes.

Une notification à la CNIL est nécessaire :

- si des données personnelles ont été définitivement perdues,

si elles sont restées indisponibles suffisamment longtemps et que cela a engendré un risque pour les personnes.

Important : en cas de risques élevés pour les personnes physiques concernées, celles-ci doivent être directement informées par le responsable de traitement des données personnelles de l’entreprise.