DIRECTIVES POUR LA MISE EN ŒUVRE DES MESURES DE SECURITE DES PERSONNELLES

1. Directives pour la mise en œuvre des mesures de sécurité

Tout d’abord, il faudrait savoir que la sécurité des données personnelles doit respecter 3 aspects principaux que sont la confidentialité, l’intégrité et la disponibilité et qui jouent le rôle de modèle et cadre de sécurité. En matière de sécurité des données personnelles, ces concepts ont la signification qui suit:

• Confidentialité : Garantit que les données personnelles collectées et traitées sont uniquement consultées par des utilisateurs autorisés disposant des informations d’identification appropriées.
• Intégrité : Garantit que toutes les données stockées sont fiables, exactes et exemptes de modifications non justifiées.
• Disponibilité : Garantit que les données peuvent être consultées à tout moment et de manière sécurisée pour répondre aux besoins continus de l’entreprise

Ensuite, il faut savoir que si le développement de l’application de vulgarisation agricole est fait par un développeur externe à WeltHungerHilfe, il faudra formaliser avec lui les objectifs et les mesures techniques attendus en termes de sécurité des données et préciser que ces exigences sont applicables à ses éventuels sous-traitants avant de contractualiser.

Pour sécuriser les données personnelles des utilisateurs de l’application de vulgarisation, le responsable du traitement devra faire ce qui suit:

1. Définir un plan d’action 

Ce plan a pour but de définir la marche à suivre pour gérer les incidents de sécurité  des  données personnelles tels que les fuites de données, les attaques de  piratage et les erreurs de traitement des données. 

Ce plan devrait inclure des procédures  pour détecter et signaler les incidents de sécurité, pour enquêter sur les causes des incidents et pour prendre des mesures pour prévenir les récurrences.

Ce plan doit notamment servir à: 

• La définition des responsabilités et des procédures d’alerte en cas d’incident : le plan d’action doit définir clairement les responsabilités de chaque personne ou équipe en cas d’incident de sécurité des données personnelles, ainsi que les procédures d’alerte à mettre en place pour signaler rapidement l’incident et déclencher les mesures d’intervention.

• La mise en place de mesures de sécurité préventives : le plan d’action doit prévoir des mesures de sécurité préventives pour éviter les incidents de sécurité des données personnelles, telles que la mise en place de systèmes de détection et de prévention des attaques de piratage, la mise en place de procédures de contrôle et de vérification des données personnelles, etc.

• L’élaboration d’un plan de réponse en cas d’incident : le plan d’action doit prévoir un plan de réponse en cas d’incident de sécurité des données personnelles, qui définit les étapes à suivre pour identifier l’incident, évaluer les risques et les impacts, contenir l’incident, remédier aux conséquences et prévenir les récidives.

• Mise en place d’un système de suivi et de rapport des incidents : le plan d’action doit prévoir un système de suivi et de rapport des incidents de sécurité des données personnelles, qui permet de collecter et d’analyser les données sur les incidents pour en tirer des enseignements et améliorer les mesures de sécurité. 

2. Mise en place des procédures pour gérer les demandes des utilisateurs

Il  faut mettre en place des procédures pour gérer les demandes des utilisateurs concernant leurs droits en matière de protection des données personnelles , tels que le droit d’accès , de rectification, d’effacement et de portabilité de leurs données. 

Ces procédures  doivent  inclure des délais pour répondre aux demandes des utilisateurs et des méthodes pour vérifier l’identité des utilisateurs avant de traiter leurs demandes

3. Une description des mesures de sécurité

Il faudra expliciter les mesures de sécurité mises en place pour protéger les données personnelles  des utilisateurs contre la perte , l’utilisation abusive ou la divulgation non autorisée. 

Ces mesures devraient inclure des contrôles d’accès aux données, des procédures  de sauvegarde et de restauration des données, ainsi que des politiques de gestion des incidents de sécurité . 

Ces mesures peuvent être notamment:

• Le chiffrement des données personnelles  qui consistent à transformer les données personnelles  en un code indéchiffrable pour les protéger contre les accès non autorisés.  

• La protection des accès aux données personnelles qui consiste à mettre en place des systèmes d’authentification et d’autorisation pour contrôler qui peut accéder aux données personnelles  et comment ces accès sont gérés. Cette mesure peut inclure des mots de passe complexes, des clés d’accès uniques ou des systèmes de reconnaissance biométrique.

• La sauvegarde des données personnelles qui consiste à effectuer des copies de ces données pour les protéger contre la perte , la destruction ou les dommages accidentels. 

• La formation des employés aux bonnes pratiques de protection des données personnelles  qui consiste à sensibiliser les employés aux risques liés au traitement des données personnelles  et à leur faire connaître les mesures de sécurité  à mettre en place pour protéger ces données.

4. Gérer les préférences des utilisateurs

Il faudra mettre en place des outils pour gérer les préférences des utilisateurs en matière de protection des données personnelles (par exemple, en leur permettant de choisir  les notifications qu’ils souhaitent recevoir).

Du recueil du consentement

Le consentement devra être un préalable à toute collecte ou traitement des données personnelles de l’utilisateur de l’application de vulgarisation. 

L’objectif est de permettre à l’utilisateur d’être en mesure d’exercer un contrôle sur le traitement des données qui le concernent.

Pour être valide, le consentement devra être:

• Libre : Le consentement ne peut pas être contraint. Si l’utilisateur refuse de donner son consentement, il ne peut y avoir de conséquences négatives ou de menaces de telles conséquences.

• Spécifique : Le consentement donné est lié à un seul traitement pour une finalité déterminée. Il devra être demandé indépendamment pour chaque traitement.

• Éclairé : Un certain nombre d’informations doivent accompagner la demande de consentement, de manière à permettre de prendre une décision en connaissance de cause. Il s’agit de l’identité du responsable de traitement, de la finalité du traitement pour lequel les données sont recueillies, des catégories de données collectées, de la possibilité de retirer son consentement. 

• Univoque : L’expression du consentement doit être permise par un acte positif et clair. Les cases pré cochées, les formulations groupant plusieurs traitements, la non-réponse valant consentement sont à bannir.

Par ailleurs, le consentement doit pouvoir être retiré aussi simplement qu’il a été donné et le responsable de traitement doit être en mesure de conserver la preuve de consentement et de prouver qu’il a été recueilli de manière valide.