Sonio

MESURES TECHNIQUES ET ORGANISATIONNELLES

Afin de garantir une sécurité adéquate des données, Sonio AG ou ses départements doivent, en tant que responsable(s) et
sous-traitant(s) (selon leur rôle), déterminer le besoin de protection des données personnelles[1] et définir les
mesures techniques et organisationnelles appropriées en fonction du risque.

Le besoin de protection des données personnelles est évalué en fonction du type de données traitées et de la finalité, du type, de l’étendue et des circonstances du traitement.

Le risque pour la personnalité ou les droits fondamentaux de la personne concernée est évalué en fonction des causes du risque, des dangers principaux, des mesures prises ou prévues (pour réduire le risque), de la probabilité et de la gravité d’une violation de la sécurité des données malgré les mesures prises ou prévues.

L’état de la technique et les coûts de mise en œuvre sont en outre pris en compte lors de la définition des mesures techniques et organisationnelles.

Le besoin de protection des données personnelles, le risque et les mesures techniques et organisationnelles doivent être vérifiés pendant toute la durée du traitement. Cela peut se faire par le biais d’audits réguliers de la protection des données, d’une sensibilisation régulière des collaborateurs par le biais de formations, de la réalisation d’analyses d’impact sur la protection des données, de l’engagement de préposés internes et externes à la protection des données, etc. Les mesures doivent être adaptées si nécessaire. 

État : octobre 2023

1.   Confidentialité

1.1 Contrôle d’accès

Mesures garantissant que les personnes autorisées n’ont accès qu’aux données personnelles dont elles ont besoin pour accomplir leurs tâches.

Mesures techniques

Mesures organisationnelles

☒  Déchiqueteuses de documents en action

☒  Utilisation des concepts d’autorisation

☒  Journalisation des accès aux applications

☒  Gestion des droits des utilisateurs par les administrateurs

☒  Démagnétiseur, destruction de supports de données

1.2  Contrôle d’accès

Des mesures garantissant que seules les personnes autorisées ont accès aux locaux et aux installations dans lesquels des données personnelles sont traitées.

Mesures techniques

Mesures organisationnelles

☒  Alarme

☒  Liste / réglementation relative aux clés

☒  Système de contrôle d’accès automatique

☒  Accueil / réception / concierge

☒  Blocages d’accès biométriques

☒  Livre des visiteurs / procès-verbal des visiteurs

☒  Cartes à puce / systèmes de transpondeur

☒  Carte d’employé / de visiteur

☒  Système de fermeture manuel

☒  Visiteurs accompagnés par un membre du personnel

☒  Serrures de sécurité

☐  Soin dans le choix du personnel de surveillance

☒  Système de fermeture avec verrouillage par code

☐  Rigueur dans le choix des services de nettoyage

☒  Sécurisation des puits de bâtiment

☒  Portes avec bouton côté extérieur

☒  Sonnerie avec caméra

☒  Vidéosurveillance des entrées

1.3  Contrôle des utilisateurs

Mesures garantissant que des personnes non autorisées ne puissent pas utiliser des systèmes automatisés de traitement de données au moyen d’installations de transmission de données.

Mesures techniques

Mesures organisationnelles

☒  Connexion avec nom d’utilisateur et mot de passe

☒  Gestion des autorisations des utilisateurs

☐  Connexion avec des données biométriques

☒  Création de profils d’utilisateurs

☒  Logiciel antivirus Serveur

☒  Attribution centrale des mots de passe

☒  Logiciel antivirus Clients

☒  Politique « Mot de passe sécurisé »

☐  Logiciel antivirus pour appareils mobiles

☒  Directive « Clean Desk » (bureau rangé)

☒  Pare-feu

☒  Directive générale sur la protection des données et/ou la sécurité

☒  Systèmes de détection des intrusions

☒  Politique relative aux appareils mobiles

☒  Gestion des appareils mobiles

☒  Instructions « Verrouillage manuel du bureau »

☒  Utilisation du VPN pour les accès à distance

☒  Cryptage du téléphone portable

☐  Verrouillage du boîtier

☒  Protection du BIOS (mot de passe séparé)

☐  Verrouillage des interfaces externes (USB)

☐  Verrouillage automatique du bureau

☒  Chiffrement des ordinateurs portables / tablettes 

2.   Confidentialité

2.1 Contrôle lors du transport

Mesures garantissant que des personnes non autorisées ne puissent pas lire, copier, modifier, effacer ou détruire des données personnelles lors de la communication de données personnelles ou du transport de supports de données.

Mesures techniques

Mesures organisationnelles

☒  Chiffrement des e-mails

☐  Documentation des destinataires des données ainsi que de la durée de la cession prévue ou des délais d’effacement

☒  Utilisation de VPN

☒  Aperçu des opérations régulières de consultation et de transmission

☒  Consignation des accès et des consultations

☒  Transmission sous forme anonymisée ou pseudonymisée

☐  Conteneurs de transport sûrs

☐  Soin dans le choix du personnel de transport et des véhicules

☒  Mise à disposition via des connexions cryptées comme sftp, https

☒  Remise en main propre avec procès-verbal

2.2 Contrôle des supports de données et mémoires

Mesures garantissant que les personnes non autorisées ne peuvent pas lire, copier, modifier, déplacer, effacer ou détruire des supports de données et/ou stocker, lire, modifier, effacer ou détruire des mémoires.

Mesures techniques

Mesures organisationnelles

☒  Enregistrement technique de la saisie ; modification et suppression des données

☐  Aperçu des programmes permettant de saisir, de modifier ou de supprimer des données

☐  Contrôle manuel ou automatisé des protocoles

☐  Traçabilité de la saisie, de la modification et de la suppression des données grâce à des noms d’utilisateurs individuels (et non des groupes d’utilisateurs)

☒  Attribution de droits pour la saisie, la modification et la suppression de données sur la base d’un concept d’autorisation

☒  Conservation des formulaires à partir desquels des données ont été reprises dans des traitements automatisés

2.3  Contrôle de la restauration

Mesures garantissant que la disponibilité des données personnelles et l’accès à ces dernières puissent être rapidement rétablis en cas d’incident physique ou technique.

Mesures techniques

Mesures organisationnelles

☒  Systèmes d’alarme incendie et de détection de fumée

☒  Concept de sauvegarde et de restauration formulé

☒  Extincteurs dans la salle de serveurs

☒  Contrôle du processus de sauvegarde

☒  Surveillance de la salle de serveurs : température et humidité

☒  Tests réguliers de restauration des données et enregistrement des résultats

☒  Salle de serveurs climatisée

☒  Conservation des supports de sauvegarde dans un endroit sûr en dehors de la salle des serveurs

☒  Rallonges multiprises de protection Salle de serveurs

☒  Existence d’un plan d’urgence (par ex. BSIIT Grundschutz 100-4)

☐  Coffre-fort de protection des données (S60DIS, S120DIS ou autres normes appropriées avec joint intumescent, etc.)

☒  Partitions séparées pour le système d’exploitation et les données

☒  Salle de serveurs sous surveillance vidéo

☐  Message d’alarme en cas d’accès non autorisé à la salle des serveurs

 

2.4  Sécurité du système

Mesures garantissant que les systèmes d’exploitation et les logiciels d’application sont toujours maintenus à jour en matière de sécurité et que les failles critiques connues sont comblées.

Mesures techniques

Mesures organisationnelles

☒  Utilisation d’un pare-feu et mise à jour régulière

☒  Processus documenté de détection et de notification des incidents de sécurité / des violations de données (également en ce qui concerne l’obligation de notification à l’autorité de surveillance)

☒  Utilisation d’un filtre de spam et mise à jour régulière

☒  Procédure documentée de gestion des incidents de sécurité

☒  Utilisation d’un antivirus et mise à jour régulière

☒  Implication des préposés à la protection des données et du responsable TIC (Head ICT) dans les incidents de sécurité et les violations de données

☒  Système de détection des intrusions (IDS)

☒  Documentation des incidents de sécurité et des violations de données, par exemple via le système de tickets

☒  Système de prévention des intrusions (IPS)

☐  Processus officiel et responsabilités pour le suivi des incidents de sécurité et des violations de données

☒  Utilisation d’un centre opérationnel de sécurité (Soc)

 

2.5  Intégrité des données

Mesures garantissant que toutes les fonctions du système de traitement automatisé des données sont disponibles (disponibilité), que les dysfonctionnements sont signalés (fiabilité) et que les données personnelles enregistrées ne peuvent pas être endommagées par un dysfonctionnement du système.           

Mesures techniques

Mesures organisationnelles

☒  Utilisation d’un pare-feu et mise à jour régulière

☒ Processus documenté de détection et de notification des incidents de sécurité / des violations de données (également en ce qui concerne l’obligation de notification à l’autorité de surveillance)

☒  Utilisation d’un filtre de spam et mise à jour régulière

☒ Procédure documentée de gestion des incidents de sécurité

☒  Utilisation d’un antivirus et mise à jour régulière

☒ Implication des préposés à la protection des données et du responsable TIC (Head ICT) dans les incidents de sécurité et les violations de données

☒  Système de détection des intrusions (IDS)

☒  Documentation des incidents de sécurité et des violations de données, par exemple via le système de tickets

☒  Système de prévention des intrusions (IPS)

☐  Processus officiel et responsabilités pour le suivi des incidents de sécurité et des violations de données

3.   Traçabilité

3.1 Contrôle de la saisie

Mesures appropriées permettant de vérifier quelles données personnelles sont saisies ou modifiées dans le système de traitement automatisé des données, à quel moment et par quelle personne.

Mesures techniques

Mesures organisationnelles

☐  Solutions logicielles pour la gestion de la protection des données en place

☐   Préposés internes à la protection des données

☒  Documentation centrale de toutes les procédures et réglementations relatives à la protection des données avec possibilité d’accès pour les collaborateurs selon les besoins / autorisations (manuels d’entreprise)

☒  Collaborateurs formés et tenus à la confidentialité / au secret des données

☒  Certification de sécurité selon ISO 27001, BSI IT-Grundschutz ou ISIS12

☒  Sensibilisation régulière des collaborateurs au moins quatre fois par an

☒  Autre concept de sécurité documenté

☐  Responsable interne / externe de la sécurité de l’information

☒  Un contrôle de l’efficacité des mesures techniques de protection est effectué au moins une fois par an

☒  L’analyse d’impact sur la protection des données (AIPD) est effectuée si nécessaire

☐  L’organisation satisfait aux obligations d’information selon les articles 13 et 14 du RGPD

☐  Il existe un processus formalisé pour le traitement des demandes d’information de la part des personnes concernées

3.2 Contrôle de la communication

Des mesures appropriées permettant de vérifier à qui les données personnelles sont communiquées à l’aide d’équipements de transmission de données.

Mesures techniques

Mesures organisationnelles

☐  Solutions logicielles pour la gestion de la protection des données en place

☐   Préposés internes à la protection des données

☒  Documentation centrale de toutes les procédures et réglementations relatives à la protection des données avec possibilité d’accès pour les collaborateurs selon les besoins / autorisations (p. ex. Wiki, Intranet...)

☒  Collaborateurs formés et tenus à la confidentialité / au secret des données

☒  Certification de sécurité selon ISO 27001, BSI IT-Grundschutz ou ISIS12

☒  Sensibilisation régulière des collaborateurs au moins quatre fois par an

☒  Autre concept de sécurité documenté

☐  Responsable interne / externe de la sécurité de l’information

☒  Un contrôle de l’efficacité des mesures techniques de protection est effectué au moins une fois par an

☒  L’analyse d’impact sur la protection des données (AIPD) est effectuée si nécessaire

3.3 Détection et élimination

Mesures appropriées pour que les violations de la sécurité des données soient rapidement identifiées (détection) et que des mesures soient prises pour en atténuer ou en éliminer les conséquences.

Mesures techniques

Mesures organisationnelles

☒  Utilisation d’un pare-feu et mise à jour régulière

☒  Processus documenté de détection et de notification des incidents de sécurité / des violations de données (également en ce qui concerne l’obligation de notification à l’autorité de surveillance)

☒  Utilisation d’un filtre de spam et mise à jour régulière

☒  Procédure documentée de gestion des incidents de sécurité

☒  Utilisation d’un antivirus et mise à jour régulière

☐  Implication des préposés à la protection des données et du responsable TIC (Head ICT) dans les incidents de sécurité et les violations de données

☒  Système de détection des intrusions (IDS)

☒  Documentation des incidents de sécurité et des violations de données, par exemple via le système de tickets

☒  Système de prévention des intrusions (IPS)

☒  Processus officiel et responsabilités pour le suivi des incidents de sécurité et des violations de données

 

[1] Les données personnelles sont toutes les données qui se rapportent à une personne physique identifiée ou identifiable, telles que le nom, l’adresse, l’adresse e-mail, l’adresse IP, le numéro AVS, les données biométriques comme les empreintes digitales, les CV, les listes téléphoniques, les certificats médicaux, les expertises psychologiques, etc.