Chargement

Comment protéger les données confidentielles de l'entreprise ?

28 Aug 2024
Cyber
7 min.

Les données confidentielles d’une entreprise sont une source précieuse d’informations. Il s’agit de renseignements sensibles que l’entreprise doit impérativement protéger pour éviter les fuites, les divulgations non autorisées, ou pire, le vol de données (piratage informatique). Comment protéger les données confidentielles de l’entreprise ? Bilan et conseils.

Quelles données sont considérées comme confidentielles ?

Qu'est-ce qu'une base de données confidentielle ?

Une base de données confidentielle est une sorte de bibliothèque digitale d’informations. Les informations confidentielles sont stockées de manière électronique dans un système informatique (appelé Data Center). Une base de données confidentielles se veut ultra sécurisée pour éviter toute fuite de données ou tentative de perte ou de vol d’informations sensibles.

Les données sensibles sont gérées selon le RGPD (Règlement Général sur la Protection des Données). Les entreprises doivent pouvoir prouver que les mesures de sécurité appropriées ont été mises en place pour protéger ces données confidentielles.

Quelles données sont dites sensibles ?

Il existe plusieurs catégories de données considérées comme sensibles en entreprises.

Les données clients

Les coordonnées, numéros de téléphone, données de paiement.

Les informations financières

Les comptes bancaires, les informations de facturation, les données fiscales ou encore les renseignements de cartes de crédit (clients, entreprise, fournisseurs, etc.).

La propriété intellectuelle

Elle concerne la stratégie de l’entreprise, les droits d’auteur, les brevets déposés ou encore les secrets commerciaux.

Les informations personnelles des employés

Les informations personnelles des employés de l’entreprise sont considérées comme sensibles et donc, confidentielles. Il peut s’agir des noms, coordonnées, mais aussi d’informations médicales, de numéros de carte bancaire, de sécurité sociale, de photos, etc.

Les données relatives aux contrats de l’entreprise

Les termes des accords de non-divulgation, les informations en rapport avec les différents partenaires commerciaux.

Quels sont les différents niveaux de données sensibles ?

Selon leur degré de sensibilité, les données confidentielles sont classées selon trois niveaux différents, afin d’en protéger l’accès, l’utilisation et la gestion.

Niveau de confidentialité Type de données

Faible / Interne

Données publiques pouvant être partagées sans restriction (brochures d’entreprise, newsletters, rapports financiers publics)

Moyen / Confidentiel

Données confidentielles nécessitant une protection adaptée pour éviter les fuites ou les divulgations non autorisées (documents juridiques, plans de produits, base de données clients)

Élevé / Secret

Informations hautement confidentielles nécessitant une protection optimale et maximale (propriété intellectuelle, stratégie commerciale, sécurité nationale, données de santé)

Comment gérer les informations confidentielles ?

Il existe plusieurs moyens de gérer les informations confidentielles pour une entreprise, afin de protéger les données qu’elle détient.

Rédiger des contrats de confidentialité

Si l’entreprise partage ses données avec un tiers, qu’il s’agisse de collaborateurs, de fournisseurs, ou d’une autre entreprise, mais aussi des travailleurs, elle doit rédiger un contrat de confidentialité. Le contrat de confidentialité permet un accord écrit entre les parties pour le respect des informations sensibles échangées.

Ce contrat de confidentialité peut être élargi à une clause de non-concurrence, notamment en cas d’arrêt de contrat, y compris pour les stagiaires.

Former les employés aux bonnes pratiques

En parallèle d’un contrat de confidentialité, l’entreprise doit former ses employés aux bonnes pratiques du recueil, du stockage et de la manipulation des données sensibles. Par exemple, il conviendra de fournir un accès au stockage optimal de la base de données, et à un serveur sécurisé, de mettre en place les limites d’utilisation de ces données personnelles (pour éviter de les utiliser à tort et à travers). Par ailleurs, une formation sur la sécurité, même basique, est requise : verrouillage de son poste informatique lors d’une pause, pas de mémo de mots de passe, pas d’accès aux dossiers confidentiels sur un réseau non sécurisé (WiFi public).

Se référer régulièrement à l’OSI

Afin de gérer et protéger les données confidentielles de l’entreprise, et d’être en règle avec la loi suisse à ce sujet, il est nécessaire de consulter régulièrement l’OSI (Ordonnance sur la sécurité de l’information dans l’administration fédérale et l’armée, article 128.1).

Restreindre l’accès aux données sensibles

L’accès aux données confidentielles doit également être contrôlé grâce à certaines mesures telles que :

la restriction d’accès physique au site de l’entreprise (badge, clé) ;
la limitation de l’accès aux fichiers et serveurs informatiques (temps de connexion limitée à la base de données sensibles, profil utilisateur individuel, mots de passe forts ;
l’interdiction d’accès aux données sensibles pour tout travailleur ou tiers (collaborateur, sous-traitant, consultant) qui n’a pas l’utilité de ces données dans le poste qu’il occupe ;
la protection externe (pare-feu, antivirus, cryptage) pour éviter toute tentative d’espionnage industriel, de vol de données ou encore de fuite.

Classifier ses données

Pour éviter toute question relative à la confidentialité d’une donnée (ou non), l’entreprise peut recenser ces informations grâce à une forme d’étiquetage. On peut apposer la mention “confidentiel” sur certains documents ou consigner un registre interne des informations les plus secrètes. Ces dossiers confidentiels pourront ensuite être accessibles uniquement aux personnes autorisées à les consulter, et protégés par un mot de passe.

Mettre à jour sa PSSI

Mettre à jour sa Politique de Sécurité des Systèmes Informatiques (PSSI) ainsi que sa politique de protection d’entreprise est une nécessité. Souvent contrôlée lors d’étapes importantes (création d’entreprise, nouveau projet, partenariat) ou en cas d’incident, la politique de protection doit être revue régulièrement pour s’adapter à chaque évolution dans l’entreprise.

Réaliser un entretien de sortie

Lors du départ d’un employé ou l’arrêt d’un contrat avec un tiers, il est judicieux de réaliser un entretien de sortie, pour s’assurer que le travailleur ne dispose plus d’aucune information sensible, de données confidentielles et d’accès à l’ensemble de ces renseignements.

Comment protéger la confidentialité des données ?

Gestion des données clients : les obligations

Stockage

Les données personnelles des clients doivent être stockées sur un réseau sécurisé, en interne à l’entreprise. Si le stockage nécessite un accès externe, à distance, mieux vaut privilégier un serveur hébergé en Suisse pour éviter toute tentative d’intrusion.

Transparence

Les clients doivent obligatoirement être informés de la manière dont sont collectées, stockées et utilisées leurs données personnelles. L’information doit être comprise, transparente et accessible aux clients.

Protection

Le transfert des données clients doit être réalisé à travers un chiffrement, en respectant le principe du Privacy by Design.

Télétravail et données clients

Le risque de perte ou de vol de données clients est accru lorsque le salarié est en télétravail. L’employeur a l’obligation légale de mettre en place des solutions concrètes et optimales pour réduire les risques pour la confidentialité des données de l’entreprise. Pour cela, il peut s’agir de dossiers rendus cryptés, d’un accès limité (en temps, par exemple) à certaines informations ou de mots de passe uniques.

La nouvelle loi sur la protection des données (nLPD)

La nLPD, nouvelle loi sur la protection des données, est entrée en vigueur le 1er septembre 2023. Avant elle, la législation n’avait pas été revue depuis 1992. Le but de la nLPD est de protéger davantage les données utilisées en entreprise. Elle vient compléter le RGPD, et impose que :

les données génétiques et biométriques soient considérées comme informations sensibles ;
seules les données des personnes physiques, et non plus morales, sont protégées ;
les informations clients récoltées respectent le Privacy by Design et le Privacy by Default ;
les personnes dont les données sont collectées doivent être informées de l’utilisation de celles-ci, y compris s’il ne s’agit pas de données considérées comme confidentielles ;
le PFPDT (Préposé fédéral à la protection des données et à la transparence) soit averti dans les plus brefs délais de toute violation de la sécurité des données de l’entreprise ;
l’entreprise tienne un registre des activités de traitement des données confidentielles.

La notion de profilage est également entrée dans la nLPD, c’est-à-dire le traitement automatisé des données personnelles.

Protéger les données confidentielles de son entreprise est une obligation fédérale en Suisse. Mais au-delà de l’aspect légal, respecter ces obligations en regard des données clients et des informations confidentielles, voire secrètes, garantir un stockage et une utilisation optimale pour éviter toute cyberattaque, c’est renforcer la confiance des clients dans l’entreprise.

À lire également

Découvrir tous les articles
Comment lutter contre la cyberfraude ?

Cyber

28 Aug 2024

Comment lutter contre la cyberfraude ?

Les statistiques annoncent que le nombre de cyberincidents en Suisse a presque doublé en un an. Une nouvelle tendance émerge depuis l'avènement de l'IA (Intelligence artificielle), les fraudes en ligne se sont multipliées.

Sécurité des paiements en ligne : éviter les fraudes

Cyber

28 Aug 2024

Sécurité des paiements en ligne : éviter les fraudes

La grande majorité des Suisses réalisent leurs achats en ligne. Le paiement par carte bancaire sur un ou plusieurs sites fait partie de notre quotidien.

Demander à être recontacté !

Grâce à notre expertise, vous bénéficiez de solutions parfaitement adaptées à votre situation, sans avoir à jongler entre de multiples interlocuteurs.

Contacter Adavia

Newsletter

Recevez les dernières actualités directement par mail