Description générale des mesures techniques et organisationnelles visées à l’article 32, paragraphe 1 du RGPD
Responsable du traitement : THELEM, société par actions simplifiée, 9 Avenue Victor Hugo, 69160 Tassin-la-Demi-Lune
Mise à jour : 29.11.24
1. Contrôle d’accès (entrée)
Obligation du sous-traitant d'empêcher toute personne non autorisée d’accéder aux systèmes de traitement des données avec lesquels les données du contrat sont traitées (contrôle d’entrée).
Mise en œuvre par : système d’alarme, engagement d’un service de sécurité externe, système de verrouillage par transpondeur, surveillance vidéo des entrées, systèmes d’interphone aux entrées, détecteurs de mouvement, sélection minutieuse du personnel de nettoyage et de sécurité, de manière générale une politique « aucun visiteur », utilisation de badges de visiteur pour les exceptions
2. Contrôle d'accès (introduction)
Obligation du sous-traitant d’empêcher toute utilisation des systèmes de traitement des données par des personnes non autorisées (contrôle d’introduction), notamment en utilisant des procédures de cryptage correspondant à l’état actuel de la technique.
Mise en œuvre par : mots de passe sécurisés (à créer selon des règles définies) pour les comptes d’utilisateurs ; mécanismes de blocage automatique ; authentification à deux facteurs ; cryptage des bases de données et des supports de données, connexions VPN ou TLS avec saisie du nom d’utilisateur et du mot de passe
3. Contrôle d’accès (modification)
Obligation du sous-traitant de garantir, notamment en utilisant des procédures d’authentification et de cryptage correspondant à l’état actuel de la technique, que les personnes autorisées à utiliser un système de traitement des données peuvent seulement accéder aux données contractuelles soumises à leur autorisation d’accès, qu’elles ne traitent ces données que sur instruction du sous-traitant et que les données contractuelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation au cours du traitement (contrôle de modification).
Mise en œuvre par : concepts d’autorisation et droits d’accès selon les besoins ; journalisation des accès ; procédures d’authentification et de cryptage ; mots de passe sécurisés ; mécanismes de blocage automatique
4. Contrôle de transfert
Obligation du sous-traitant de garantir, notamment en utilisant des procédures d’authentification et de cryptage correspondant à l’état actuel de la technique, que les données contractuelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique ou pendant leur transport, et qu’il est possible de vérifier et de déterminer à quels endroits une communication de données contractuelles au moyen d’un équipement de transmission de données est prévue (contrôle du transfert).
Mise en œuvre par : cryptage ; réseaux privés virtuels (VPN) ; signature électronique
5. Contrôle de saisie
Obligation du sous-traitant de garantir qu’il est possible de vérifier et de constater ultérieurement si et par qui des données contractuelles ont été saisies, modifiées, transférées ou supprimées dans les systèmes de traitement des données (contrôle de la saisie) et d’attribuer les données contractuelles à leur source à tout moment (contrôle de l’authenticité).
Mise en œuvre par : journalisation ; gestion des documents ; documentation des entrées et sorties
6. Contrôle de disponibilité
Obligation du sous-traitant de garantir que les données contractuelles sont protégées contre la destruction ou la perte accidentelle ou délibérée (contrôle de la disponibilité). Il s’agit notamment d’assurer la résistance des systèmes et des services, la conservation des données contractuelles conformément aux principes d’une protection correcte des données et des mémorisations régulières des données, y compris des sauvegardes régulières, dans la mesure nécessaire.
Mise en œuvre par : protection en écriture/contrôle des versions ; stratégie de sauvegarde, système d’alimentation sans interruption (UPS) ; protection contre les virus ; pare-feu ; maintenance du système/tests de charge ; mises à jour ; voies de communication et plans d’urgence
7. Contrôle de séparation
Obligation du sous-traitant de garantir que les données contractuelles collectées pour différentes finalités peuvent être traitées séparément (contrôle de séparation).
Mise en œuvre par : des droits d’accès (entrée) distincts
8. Contrôle de mise en œuvre
Obligation du sous-traitant de garantir que les principes de protection des données sont dûment mis en œuvre et que les garanties nécessaires sont comprises dans le traitement afin de respecter les exigences juridiques en matière de protection des données et de protéger les droits des personnes concernées.
Mise en œuvre par : instruction et formation des collaborateurs ; contrôles/échantillons
9. Contrôle d’efficacité
Obligation du sous-traitant d’implémenter une procédure de vérification, d’appréciation et d’évaluation régulière de l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
Mise en œuvre par : documentation exhaustive, à jour et transparente des opérations de traitement des données ; gestion de la protection des données ; gestion des réponses aux incidents ; tests de charge/échantillons/attaques simulées « de l'extérieur » ; adaptations à l’état de la technique (mises à jour, formations)
10. Contrôle de sous-traitance
Obligation du sous-traitant de garantir que les données à caractère personnel ne sont traitées que conformément aux instructions du client et que les instructions reçues sont mises en œuvre sans délai.
Mise en œuvre par : conception claire du contrat ; instruction des collaborateurs ; gestion formalisée de la sous-traitance ; sélection stricte du prestataire ; obligation de conviction préalable ; contrôles de suivi.