Le RGPD (Règlement Général sur la Protection des Données) impose une plus grande prise en considération de la gestion des habilitations informatiques. À l’instar de la loi Informatique et Liberté, il veut garantir que les données à caractère personnel possèdent un niveau de sécurité informatique suffisant pour leur confidentialité.
Ainsi, le message est clair : un utilisateur doit avoir accès aux seules données dont il a besoin.
Voici quelques recommandations pour atteindre cet objectif.
Les précautions usuelles à adopter
Pour parvenir à gérer les habilitations de manière rigoureuse, chaque entité peut prendre des mesures préventives simples mais efficaces.
- Définir des niveaux d’habilitation : par service, par champ géographique ou par niveau hiérarchique. Ceci pour limiter l’accès des utilisateurs aux données informatiques ou papier strictement nécessaires dans l’accomplissement de leurs tâches.
- Définir les accès par profil d’habitation : permission d’entrée dans des locaux, autorisation d’accès à des fichiers partagés, etc.
- Supprimer les habilitations le cas échéant : fin de contrat, changement de service, etc. À titre d’illustration, on pourra créer une alerte en cas de non activité d’un compte utilisateur pendant une période définie. De ce fait, le responsable de traitement pourra décider du maintien ou non du compte en sommeil.
- Réaliser une revue annuelle des habilitations afin de remettre à plat l’accès aux données sensibles et privées.
Lorsqu’on parle d’habilitations nécessaires pour les seules missions effectuées, il est crucial d’être précis et exhaustif. Par exemple, sur un logiciel de gestion des ressources humaines, le module paie ne sera pas accessible à la personne en charge de la formation professionnelle et vice versa. L’accès global sera réservé au DRH.
Gestion des habilitations : les mauvais pratiques
Certains usages font encourir des risques au système de protection des données et au système informatique en général :
- multiplier les comptes partagés par plusieurs utilisateurs ;
- accorder des droits administrateurs non nécessaires ;
- laisser l’accès d’un collaborateur à des données ou des locaux non essentiels au cadre de ses missions ;
- oublier de supprimer des autorisations lorsque obsolètes (changement de fonction ou remplacement par exemple).
Dans tous les cas, la personne responsable du traitement des données devra établir, documenter et revoir des procédures draconiennes pour gérer les habilitations. Cette politique devra préciser les instructions en cas d’arrivée, remplacement, mutation, départ d’un collaborateur au niveau du contrôle des accès aux données à caractère personnel. Par ailleurs, elle devra aussi exprimer clairement les sanctions en cas de non-respect des mesures préventives de sécurité.
En bref…
Se mettre en compliance avec le RGPD n’est pas chose aisée pour les entreprises. Gérer avec assiduité les habilitations est une source de risque importante. La clef réside dans le fait de bien définir les accès autorisés et interdits pour chaque donnée à caractère personnel ou sensible. Pour répondre positivement à tous ces questionnements, faîtes-vous accompagner par des spécialistes chevronnés. La première étape est simple, complétez notre formulaire de contact pour en savoir plus sur nos prestations.
