Share

Sensibilisation à la protection des données personnelles

Textes officiels  

La protection des données est encadrée par un certain nombre de documents législatifs et réglementaires dont voici les principales références :

 

Réglement général sur la protection des données (RGPD)
Directive "Police - Justice"
Convention n°108 du Conseil européen pour la protection des données
   
Loi "Informatique et Libertés"
Décret n°2019-536 du 29 mai 2019 pris pour application de la loi "Informatique et Libertés"
   
Code pénal (sanctions relatives au domaine de la protection des données)
Code des relations entre le public et les administrations
   
Référentiel général de sécurité (RGS)
Nos documents de sensibilisation  

La protection des données à caractère personnel étant l’affaire de tous, vous êtes invités à suivre les quelques règles élémentaires de sécurité décrites dans ces fiches de sensibilisation.

Toutes ont été rédigées par nos soins en tenant compte des spécificités des collectivités territoriales et des établissements publics, au regard des dispositions du réglement général sur la protection des données (RGPD).

Dans le cadre de ses missions, votre collectivité est amenée à traiter et à gérer de nombreuses données personnelles (Noms, prénoms, adresses, numéros de téléphone, données de carrière, situation familiale, données concernant la santé, etc.).
L’entrée en vigueur le 25 mai 2018 du règlement général sur la protection des données (RGPD) impose désormais de nouvelles règles visant à protéger la vie privée de nos administrés.
Face à la multiplication des menaces, notamment informatique, qui pèsent aujourd’hui sur ces données, il est de la responsabilité de chacun de prendre les précautions qui s’imposent pour en garantir la sécurité.
La protection des données étant l’affaire de tous, chaque agent est invité à suivre les quelques règles élémentaires de sécurité décrites dans le guide ci-dessous.

Télécharger le guide en version PDF

Guide de sensibilisation des agents

Sécurité physique
  • Je veille à ne pas laisser des inconnus circuler dans les zones d’administration
     
  • Je ne laisse pas les personnes extérieures sans surveillance
     
  • Je ferme mon bureau à clef lorsque je n’y suis pas
     
  • Je veille à fermer le bâtiment lorsque je le quitte
     
  • J’active l’alarme du bâtiment lorsque je suis le dernier à partir
(Mauvais) exemple :
Patrick, en visite dans la collectivité, a réussi à se soustraire à la vigilance des agents de l’accueil. Impatient d’accéder à son dossier, il se rend dans le bureau le plus proche pour le chercher. Le bureau n’étant pas verrouillé, il peut entrer et accéder à tous les dossiers, y compris ceux qui ne le concernent pas.
Dispositifs USB
  • Je m’abstiens de connecter à mon poste une clef USB dont je ne connais pas la provenance
     
  • Lorsque je n’ai pas le choix, je demande à mon service informatique de lancer une analyse antivirus avant d’ouvrir la clef USB
(Mauvais) exemple :
Après avoir travaillé sur un document Word chez lui, Fernand a voulu transférer celui-ci sur son poste professionnel.
Sans le savoir, son ordinateur personnel contenait un virus qui a infecté sa clef USB. Voilà maintenant qu’à son insu, le virus s’est copié sur le serveur de la collectivité.
Messagerie
  • Je n’ouvre pas un courriel dont je ne reconnais pas l’expéditeur
     
  • Je n’ouvre pas les pièces-jointes suspectes
     
  • Je ne réponds pas à des demandes d’informations confidentielles par courriel
     
  • Je contrôle l’identité et l’adresse du destinataire avant d’envoyer mon courriel
     
  • J’indique de manière explicite l’objet du message et son caractère confidentiel
     
  •  Lorsque j’envoi un courriel groupé, j’utilise le bon champs de destinataires :
     
  • À : destinataire du courriel
     
  • CC : autres destinataires mis en copie non-cachée
     
  • Cci : autres destinataires mis en copie cachée
(Mauvais) exemple :
Suite à la réception d’un courriel semblant provenir d’un de ses collègues, Jean-Louis a cliqué sur un lien présent dans le message. Ce lien était piégé. Sans que Jean-Louis ne le sache, son ordinateur est désormais utilisé pour envoyer des courriels malveillants.
Ingénierie sociale
  • Je ne me fie jamais aux apparences et je contrôle toujours l’identité de mes interlocuteurs, par courriel ou par téléphone
     
  • Je ne donne jamais de renseignement sensible à qui-conque sans m’être assuré de son identité au préalable
(Mauvais) exemple :
John-Ronald a reçu un appel téléphonique d’une femme prétendant travailler pour la CAF. Celle-ci lui demandait des informations confidentielle sur les l’un des agents dont il s’occupe.
Pensant bien faire, et ne doutant pas de la parole de cette femme, John-Ronald lui a confié toutes les informations demandées. Quelques jours plus tard, l’agent a été victime d’une grave usurpation d’identité
Confidentialité
  • Je veille à la confidentialité des données que je manipule
     
  • Je récupère rapidement les documents imprimés sur le matériel d’impression
     
  • Je n’emporte pas de dossiers à la maison
     
  • Je ne donne de renseignements qu’aux personnes ayant le droit d’y accéder
     
  • Je range mon bureau régulièrement et je ne laisse pas trainer de documents à la vue de tous
(Mauvais) exemple :
En retard sur un dossier, Bernadette a fait une copie des données sur sa clef USB dans le but de terminer son travail chez elle. Le soir venu, sur le chemin du retour, elle ne se rend pas compte que sa clef USB est tombée de son sac. Les données sont donc perdues et à la merci de celui qui les retrouvera.
Poste de travail
  • Je verrouille systématiquement mon poste de travail lorsque je m’en éloigne (même pour un court instant)
     
  • Je n’installe pas de logiciel moi-même. Je demande à mon service informatique de le faire
     
  • J’enregistre mon travail régulièrement sur un dossier réseau (et non sur le disque-dur) afin de s’assurer de la disponibilité des données en cas de défaillance du poste
     
  • Je reste vigilant lorsque je navigue sur internet
(Mauvais) exemple :
Après un long travail acharné, Renée se dit qu’une petite pause café lui ferait du bien. Elle laisse donc son ordinateur sans surveillance.
Ayant pu se soustraire à la surveillance des agents de l’accueil, Patrick a pu pénétrer dans son bureau en son absence et accéder à ses données informatiques, dont des dossiers sensibles.
Documents papier
  • Je veille à la protection des documents sensibles
     
  • Je range mon bureau régulièrement et je ne laisse pas trainer de documents à la vue de tous
     
  • Je procède à un tri régulier afin de déterminer quels documents me sont encore utiles et quels sont les documents à archiver
     
  • Je prends contact avec mon archiviste pour procéder au versement des documents à archiver vers le local dédié
(Mauvais) exemple :
Nadia reçoit un rendez-vous dans son bureau, malgré le désordre. Au cours de l’entretien, son téléphone portable sonne et elle sort donc du bureau pour répondre, laissant la personne reçue seule. Sans qu’elle ne s’en rende compte, son dernier bulletin de paie était resté visible de tous sur son bureau. Son rendez-vous avait donc accès, entre autres, à ses données bancaires, ses revenus et son numéro de sécurité sociale.
Mots de passe
  • Je choisis un mot de passe complexe différent pour chaque usage que je change au moins une fois par an
     
  • Minimum 8 caractères, dont un chiffre, une majuscule, une minuscule et un caractère spécial
     
  • Je ne communique jamais mon mot de passe à quiconque
     
  • Je retiens mon mot de passe et je ne le note nulle part
     
  • En cas d’oubli, je n’hésite pas à contacter mon service informatique pour que celui-ci m’en communique un nouveau
(Mauvais) exemple :
Afin de ne pas oublier son mot de passe, Hector l’a noté sur un autocollant apposé sur son écran. Après avoir laissé son poste, pourtant verrouillé, pendant quelques minutes, il se rend compte à son retour que quelqu’un a ouvert sa session et a pu accéder à des données sensibles.

En cas de problème

► Je garde mon calme !

► Je prends contact avec le service informatique lorsque l’incident est de nature numérique

► Je prends contact avec le service « Protection des données » qui pourra m’orienter sur la marche à suivre

Service « Protection des données » du Centre de Gestion du Gard

04 66 38 74 56
Affiche de sensibilisation

Si vous avez passé une convention d'adhésion avec le CDG30 au service protection des données personnelles, l'affiche de sensibilisation ci-dessous est à votre disposition, sur demande auprès du service, elle est au format 50x70. Vous pouvez néanmoins en télécharger une version PDF en petit format (à imprimer en A3) en cliquant sur l'image.

Dans le cadre de vos missions, vous êtes amenés à travailler à distance (à domicile, dans un centre de télétravail, etc.)
Ces conditions de travail particulières nécessitent de prendre de nouvelles mesures de protection afin d’assurer la sécurité des données à caractère personnel utilisées dans le cadre de vos missions.
La protection des données étant l’affaire de tous, chaque agent est invité à suivre les quelques règles élémentaires de sécurité décrites dans le guide ci-dessous.

Télécharger le guide en version PDF

Sécurité physique
  • Je veille à ne pas laisser quiconque accéder à mon ordinateur professionnel
     
  • Dans la mesure du possible, j’installe mon bureau dans une zone isolée ou je puisse travailler tranquillement
     
  • Je ferme mon bureau à clef lorsque je n’y suis pas
     
  • Je veille à ranger l’ordinateur du mieux que possible (notamment s’il s’agit d’un ordinateur portable)
     
  • Je ne laisse pas mes animaux s’approcher des documents ou du poste informatique


(Mauvais) exemple :
Finissant son petit déjeuner, Norbert, en télétravail depuis la veille, se décide à rejoindre son bureau ou l’attend son ordinateur.
Arrivant sur place, il manque de lâcher sa tasse de café : l’écran de l’ordinateur est renversé, les dossiers papier éparpillés, tandis que son chat le regarde d’un oeil curieux en baillant, tranquillement couché sur le clavier de cette nouvelle machine qu’il ne connaissait pas et avait très envie de découvrir.

Sécurité informatique
  • J’utilise uniquement le poste informatique fourni par ma collectivité pour travailler
     
  • Je ne me connecte au réseau interne de ma collectivité que grâce à un VPN
     
  • Je ne connecte jamais mon matériel personnel avec mon matériel professionnel
     
  • Je n’utilise que ma propre connexion internet (dont je suis responsable et sur laquelle j’ai seul la maitrise) que j’ai préalablement sécurisé convenablement


(Mauvais) exemple :
Plus habitué à son ordinateur personnel sous Windows 7 qu’à son nouveau poste professionnel utilisant Windows 10, Gérard préfère travailler sur son outil personnel. Devant transférer ses derniers travaux sur le serveur de sa collectivité, il se connecte à son réseau interne, sans prendre garde à l’absence de VPN sur son ordinateur.
Sans s’en rendre compte, il vient d’ouvrir l’accès à ce serveur aux cybercriminels qui avaient auparavant infectés son ordinateur personnel.

Confidentialité
  • Je veille à la confidentialité des données que je manipule
     
  • Je récupère rapidement les documents imprimés sur le matériel d’impression
     
  • Si je peux, j’installe l’imprimante à portée de main
     
  • Je ne dévoile pas d’informations professionnelles à quiconque, y compris ma famille
     
  • Je range mon bureau régulièrement et je ne laisse pas trainer de documents à la vue de tous


(Mauvais) exemple :
Recevant un samedi soir des voisins pour l’apéritif, Pédrita ne prend pas garde à la bonne tenue de son bureau. Après tout, ses invités resteront dans le salon !
Devant aller aux toilettes, Monique s’isole un instant. Passant devant le bureau sur lequel trainent de nombreux dossiers, la tentation se fait trop grande ! Monique aura ainsi tout le loisir de raconter le lendemain à ses copines que Monsieur Deloin, le gentil voisin du bout de la rue, a fait une demande d’aide sociale suite à la demande de divorce de sa femme.

Poste de travail
  • Je verrouille systématiquement mon poste de travail lorsque je m’en éloigne (même pour un court instant)
     
  • Je n’installe pas de logiciel moi-même. Je demande conseil à mon service informatique
     
  • J’enregistre mon travail régulièrement sur un dossier réseau ET sur le disque-dur afin de s’assurer de la disponibilité des données en cas de défaillance du poste ou de la connexion avec le serveur
     
  • Je reste vigilant lorsque je navigue sur internet


(Mauvais) exemple :
Jean-Patrick, épuisé après un long travail, décide de rejoindre sa cuisine pour se préparer un café.
Sans qu’il n’y fasse attention, son fils de 5 ans s’introduit dans son bureau et, voulant aider papa, commence à toucher à l’ordinateur qui n’avait pas été verrouillé.
À son retour, Jean-Patrick ne peut que constater, impuissant, que tout son travail a été perdu.

Documents papier
  • Je veille à la protection des documents sensibles
     
  • Je range mon bureau régulièrement et je ne laisse pas trainer de documents à la vue de tous
     
  • Je ne conserve que les documents utiles et je rapporte les autres à mon bureau à la première occasion
     
  • Je ne mange pas près de mes documents papier (ni près du poste informatique)


(Mauvais) exemple :
Sue Ellen, très en retard sur un dossier, s’installe à midi dans une position précaire sur son canapé, son ordinateur portable sur les genoux afin de continuer à travailler tout en dégustant un plat cuisiné rapidement réchauffé au micro-ondes et posé sur le clavier. Lors d’un mauvais mouvement, elle a le malheur de renverser un peu de sauce sur les touches de l’ordinateur.
Prise de panique, et voulant rattraper sa maladresse, elle multiplie les gestes brusques et fini par renverser sa bouteille d’eau sur le dossier papier qui était posé sur sa table.

En cas de problème

► Je garde mon calme !

► Je prends contact avec le service informatique lorsque l’incident est de nature numérique

► Je prends contact avec le service « Protection des données » qui pourra m’orienter sur la marche à suivre

Service « Protection des données » du Centre de Gestion du Gard

04 66 38 74 56

Vous avez été élu ou réélu lors des dernières élections locales ? Sachez que depuis le 25 mai 2018, de nouvelles obligations s’imposent aux collectivités territoriales et établissements publics dont vous avez la charge.

Ces nouvelles obligations ont pour but de mieux protéger la vie privée de vos administrés et peuvent avoir de lourdes conséquences en cas de non-respect.

Il est à noter que la CNIL a publié un guide de sensibilisation au RGPD à destination des collectivités territoriales que vous pouvez retrouver en cliquant ici.

La protection des données étant l’affaire de tous, voici un petit rappel des obligations mises en place par le RGPD ainsi que quelques conseils pour les respecter.

 

Fiches et guides  
Installation de nouveaux élus
Guide du RGPD à destination des élus
Les règles de la communication politique
Les droits des électeurs

Parce que la protection des données peut parfois s'avérer complexe à appréhender, voici quelques guides et fiches utiles pour vous y retrouver et assurer une protection exemplaire des données sous votre responsabilité

 

Fiches et guides  
Guide de sensibilisation au RGPD
Guide de la bonne utilisation de la messagerie électronique
Guide du fichier de population
Guide sur l'utilisation des cookies et autres traçeurs
Comment sécuriser son réseau Wi-Fi ?