La protection des données pour tous

Que de bruit… a été provoqué par deux articles de la dernière édition du Bulletin sur Le nouveau service de numération du courrier postal et sur La collaboration entre le CERN et Facebook !

 

En effet, ceux qui ont réagi ont entièrement raison : ouvrir les lettres adressées aux autres et les scanner est une violation des règles de base de la protection des données. De même, envoyer vos photos, adresses, comptes informatiques, fichiers et documents personnels à une tierce partie (en particulier en dehors du CERN) est clairement inacceptable, puisque le CERN considère ces données comme personnelles. Par exemple, votre boîte mail CERN et vos dossiers « privés » sur AFS et DFS sont entièrement vôtres. Ni votre superviseur, ni les services AFS/DFS/Mail, ni l'équipe de sécurité n'ont le droit d'accéder à ces données, en dehors de rares cas où cela est nécessaire, et qui sont strictement régulés, nécessitant également l'accord explicite du CERN Chief Information Officer (CIO), du Service juridique, et du DG.
 
Mais le saviez-vous ? Le CERN est en train de développer une politique de protection des données, et le rôle d'un CIO (ce rôle est actuellement assumé conjointement par le directeur du département IT et le Computer Security Officer). Mise à part la Circulaire administrative no 10, la protection des données dépend de chacun. Ce n'est pas un problème pour vous ? Le CERN se base en effet sur une culture ouverte et il est tentant de se dire que nous n'avons rien à cacher. Perdre des données scientifiques peut être ennuyeux, mais le problème s'arrête-t-il là ? Il reste votre boîte mail et vos fichiers personnels, financiers et contractuels, vos notes confidentielles, mots de passe et identifiants, ainsi que vos données médicales. Ces données doivent être protégées de manière claire et homogène.
 
Il nous faut donc changer. En collaboration avec le Service juridique et les départements GS, HR et IT, l'équipe de sécurité prépare une politique de protection des données pour stocker, accéder et transférer tout type de données numériques. Pour le moment, les efforts se concentrent sur la définition des différents niveaux de confidentialité, par exemple « public », « interne », « restreint » et « sensible », ainsi qu'une liste exhaustive d'exemples pour chaque niveau (voir ici). Cette politique sera complétée par des politiques sur le stockage, le transfert et l'accès à ces données. La liste d'exemples va permettre de clarifier et d'éviter la mauvaise classification et l'assignation à un système de stockage non adéquat. Enfin, la politique de protection des données inclut une politique de destruction des données qui a déjà été mise en place (voir ici ; voir également notre article paru dans le Bulletin 10-11/2012).
 
Dans tous les cas, la meilleure manière de protéger les données est d'être attentif et prudent ! Si vous pensez que certains documents, fichiers et données devraient être protégés, faites le nécessaire. Nous sommes prêts à vous aider.

Comme d'habitude, pour de plus amples informations, consultez notre site web ou contactez-nous à Computer.Security@cern.ch.

par Computer Security Team