Editeurs, optez pour une authentification RGPD compliant

authentification RGPDEditeurs, proposez un module Authentification RGPD pour une gestion de mots de passe conforme aux recommandations Cnil.

Les éditeurs de logiciel doivent concilier la position de la Cnil sur les modes d’authentification et les obligations du RGPD.

A la suite de nos articles « Editeurs, proposez un module d’habilitation RGPD compliant » et « Editeurs, proposez un module de monitoring des zones libres », nous poursuivons notre exploration des modules et fonctionnalités qui devraient être intégrés par les éditeurs dans leurs produits pour permettre à leurs clients de faciliter leur compliance informatique et libertés.

Dans cette série, notre présent article aborde les modules d’accès et d’authentification.

Les modules accès et authentification RGPD : une zone de risque de compliance

Le règlement (Règl. (UE) 2016/679 du 27-4-2016) à l’instar de la loi informatique et libertés fait peser sur les responsables de traitement une obligation de sécurité, qui est fonction des finalités du traitement et des risques qui pèsent sur les droits et libertés des personnes.

Le responsable de traitement doit mettre en œuvre des mesures techniques et opérationnelles « pour garantir un niveau de sécurité adapté au risque ». Ces mesures peuvent prendre des formes distinctes. Ainsi, la pseudonymisation et le chiffrement sont des mesures de sécurité mentionnées dans le texte. Mais avant tout il y a lieu pour le responsable de s’assurer que l’accès aux bases de données et aux logiciels qu’il utilise sont conforme à l’état de l’art et lui permette de répondre à son obligation de sécuriser les accès.

Recommandation de la Cnil sur les mots de passe

En matière d’accès et d’authentification, la Cnil estime que si le couple « identifiant-mot de passe » est le plus répandu, il n’est pas pour autant le plus sûr.

La Cnil fixe des modalités techniques minimales en ce qui concerne la création des mots de passe (Délib. Cnil 2017-012 du 19-1-2017). Quatre cas d’authentification sont à distinguer, en fonction desquels les règles de création des mots de passe sont plus ou moins contraignantes.

Le mot de passe pour l’accès à une messagerie électronique ou à un compte d’entreprise devra contenir au minimum 8 caractères avec au moins trois des quatre types de signes différents (minuscule, majuscule, chiffre, caractère spécial) ; l’éditeur devra rendre techniquement possible des mesures de restriction d’accès au compte telles que la temporisation d’accès au compte après plusieurs échecs, le verrouillage du compte après dix échecs ou bien l’insertion d’un captcha.

Module accès et authentification RGPD

Les éditeurs doivent adopter une démarche de protection des données dès la conception : ils doivent donc penser dès la conception d’un produit à intégrer des modules et fonctionnalités pour un accès et une authentification RGPD permettant aux responsables de traitement de respecter leurs obligations informatique et libertés.

Indépendamment de ces outils et fonctionnalités, il appartient au responsable de traitement de former, sensibiliser ses utilisateurs aux règles élémentaires de sécurité notamment en se dotant d’une charte des moyens informatiques et d’une charte administrateurs.

Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique

1) Règl. (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4-5-2016, p. 1-88).
2) Délib. Cnil n° 2017-012 du 19-1-2017 portant adoption d’une recommandation relative aux mots de passe (JORF du 27-1-2017).




Un module RGPD monitoring des zones libres pour éditeurs

RGPD monitoring des zones libresCompliance au règlement : éditeurs de logiciels, développez un outil spécifique RGPD monitoring des zones libres. Ces zones libres sont, pour les responsables de traitement, des zones de risques Informatique et libertés pouvant nuire à leur compliance.

A la suite de notre article « Editeurs, proposez-vous des habilitations RGPD compliant ? », nous poursuivons notre exploration des modules et fonctionnalités qui devraient être intégrés par les éditeurs dans leurs produits pour permettre à leurs clients de faciliter la compliance informatique et libertés.

Dans cette série, notre présent article s’intéresse aux zones libres ou zones de commentaires libres.

RGPD monitoring des zones libres : gérer ces zones de commentaires à risque

Le RGPD impose aux responsables de traitement d’adopter, concernant la mise en œuvre de leurs traitements, une démarche de protection dès la conception et de sécurité par défaut. Mais il impose également le principe de responsabilité.

Dans ce nouveau paradigme, où le responsable de traitement se doit de démontrer qu’il a mis en œuvre des politiques et procédures permettant de s’assurer du respect des contraintes Informatique et libertés, un besoin pressant d’outils de monitoring et de contrôle se fait jour.

Dans ce contexte, les éditeurs de logiciels, s’ils veulent être sélectionnés par les responsables de traitement, vont devoir intégrer dans leurs offres des modules leur permettant de respecter leurs obligations en matière de protection des données.

Les outils RGPD monitoring des zones libres sont nécessaires à la compliance

En tant que zones à risques de compliance, les zones libres ou de commentaires libres requièrent des outils de monitoring.

En effet, les zones de commentaires libres présentent des risques au regard de la vie privée puisqu’elles permettent la saisie d’informations qui ne sont, ni adéquates et pertinentes, ni non-excessives (Cnil, Délib. 2016-370 du 1-12-2016).

Si la responsabilité de la collecte et du traitement de ces données pèse sur le responsable de traitement, il n’en demeure pas moins vrai que l’éditeur qui propose un module RGPD monitoring des zones libres, facilitera le contrôle de ces zones par le responsable de traitement. Parmi les outils que devraient intégrer les éditeurs dans leurs produits figurent :

  • Un bandeau d’avertissement à proximité des zones de saisie ;
  • Un process de monitoring et de filtrage consistant à remplacer, à priori ou à posteriori, les mots interdits ;
  • Un dictionnaire de mots interdits ;
  • Un outil d’analyse sémantique qui fonctionne sur la base d’un dictionnaire, et un outil d’administration de l’outil d’analyse ;
  • Une traçabilité pour faciliter la sensibilisation et la formation des utilisateurs.

Ces outils ne sont que des exemples de ceux qui devraient être intégrés dans les logiciels. Ils ne sont pas exhaustifs mais représentent un minimum pour permettre aux responsables de traitement faisant l’acquisition d’un logiciel ayant un module RGPD monitoring des zones libres, de gérer ces zones à risque. Bien évidemment, le responsable de traitement devra accompagner ces outils d’audits réguliers ainsi que d’actions de sensibilisation et de formation afin de responsabiliser ses utilisateurs.

Lexing Alain Bensoussan Avocats
Lexing Publicité et Marketing électronique

1) Délibération Cnil n° 2017-015 du 19-1-2017 autorisant la Direction des Services Départementaux de l’Education Nationale de Meurthe-et-Moselle à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le suivi de l’absentéisme scolaire.




Editeurs, proposez-vous des habilitations RGPD compliant ?

habilitations RGPDPour la gestion des habilitations RGPD, il est nécessaire pour les éditeurs de proposer des solutions RGPD compliant. La compliance est, en effet, liée au choix de solutions intégrant by design des fonctions permettant le respect des obligations issues du RGPD. Si l’éditeur d’un logiciel n’est pas responsable du traitement qui est mis en œuvre par son client, en revanche, compte tenu de la position de la Cnil qui est de considérer qu’il revient au responsable de traitement, de choisir des solutions lui permettant de respecter ses obligations, il apparaît que les éditeurs ont donc tout intérêt à aider leurs clients à se conformer à leurs obligations en leur proposant des solutions « RGPD compliant ».

A cette fin, nous allons publier une série d’articles afin d’identifier les fonctionnalités ou éléments qui devraient être présents dans un logiciel pour permettre aux clients responsables de traitement de respecter les obligations issues du RGPD.

Une nécessaire conformité des logiciels au RGPD

Le RGPD (1), à l’instar de la loi Informatique et libertés (2), exige que les données à caractère personnel soient traitées de manière à garantir une sécurité et une confidentialité appropriées de ces données ce qui suppose d’éviter que des tiers non autorisés y aient accès mais aussi que les destinataires des données n’accèdent qu’aux données nécessaires à la réalisation de la mission ou de la finalité qu’ils accomplissent.

Selon les termes du RGPD, il faut entendre comme destinataire toute personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.

Si l’outil ne peut permettre de gérer l’accès des données aux tiers, auxquels le responsable de traitement transfèrerait des données, en revanche, il devrait permettre au responsable d’octroyer des droits aux utilisateurs selon leurs fonctions, missions et autre périmètre géographique.

Il apparaît essentiel pour les éditeurs de mettre en place des outils garantissant et permettant à leurs clients, responsables de traitement, de se conformer à la réglementation Informatique et libertés.

Le développement des logiciels ne peut plus se concevoir sans prendre en compte les règles applicables en matière de protection des données personnelles. La mise en place d’outils permettant un haut niveau de conformité représentera un avantage concurrentiel de premier ordre pour les éditeurs.

Gestion des habilitations RGPD au sein des logiciels

Une fois que les responsables de traitements ont identifié précisément les seules personnes pouvant légitimement avoir accès aux données à caractère personnel contenues dans les logiciels mis à leur disposition, les éditeurs doivent impérativement leur offrir la possibilité de mettre en place :

  • un mécanisme de définition des niveaux d’habilitation ;
  • un moyen de contrôle des permissions d’accès aux données.

Pour ce faire, il est recommandé aux éditeurs de développer des outils dédiés à la gestion des habilitations au sein des logiciels qu’ils développent. Il leur faudra définir des profils d’habilitation dans les systèmes en séparant les tâches, les domaines de responsabilité, et le périmètre géographique afin de limiter l’accès aux données aux seuls utilisateurs dûment habilités.

A titre d’illustration, au sein d’un outil dédié à la gestion des ressources humaines, les écrans dédiés à la gestion de la paye ne devraient être accessibles qu’au service en charge de la gestion de la paye et non pas au service en charge de la formation du personnel ou des relations sociales.

Ces différents critères doivent pouvoir être combinés, c’est-à-dire qu’il devra être possible de définir un profil d’habilitation sur la base d’un profil métier mais également d’un périmètre géographique donné.

Gestion des habilitations RGPD

La gestion des habilitations RGPD devraient également pouvoir être définie à la donnée permettant ainsi que la restitution des champs sur une même page, puisse être différente en fonction de la nécessité d’accès de chaque profil. Les habilitations doivent encore pouvoir être définies en termes d’actions et une distinction doit pouvoir très opérée entre les droits pour la création, la modification, la suppression ou encore la consultation des données contenues dans le logiciel.

Des outils doivent, en outre, être développés pour permettre les mises à jour de ces habilitations RGPD : il convient de prévoir que les permissions d’accès des utilisateurs disparaissent dès qu’ils ne sont plus habilités à accéder aux données concernées, ou à la fin de leur période d’emploi. Le rappel de la nécessité d’une vérification fréquente des profils d’habilitation devrait également être automatisé. A titre d’illustration, une alerte automatique pourrait être générée après un certain temps d’inactivité d’un compte donné afin de déterminer s’il convient ou non de le maintenir.

Le déploiement de telles possibilités au sein des logiciels permettra aux éditeurs de se distinguer sur le marché.

De manière plus générale, une revue globale de la conformité de leurs logiciels au regard des exigences Informatique et libertés leur permettra de mettre en avant un comportement responsable et la conformité de leurs outils au RGPD auprès de leurs clients et prospects.

Céline Avignon
Anne Renard
Lexing Publicité et Marketing électronique

(1) Article 28 §1 du règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
(2) Article 34 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés