« Clas-si-fié (/klasifje/) » - qu'est-ce que c'est ?
Avez-vous déjà réfléchi à quelles informations devraient ou doivent être classées comme confidentielles au CERN ? Ou publiques ? Que signifie « confidentiel » de toutes façons ? Le droit européen, par exemple, impose une protection adéquate de vos dossiers médicaux. Au CERN, des raisons de sécurité exigent que vos mots de passe soient les vôtres, et uniquement les vôtres (rappelez-vous : « Votre mot de passe est votre brosse à dents »). Il est dans votre propre intérêt que vos détails de carte bancaire soient également tenus confidentiels. Mais qu'en est-il de l'emplacement de votre bureau, de votre numéro de téléphone du CERN, ou de votre photo sur votre carte officielle du CERN ?
_image.jpg?subformat=icon)
Le CERN travaille actuellement sur une politique cohérente pour la classification des données, avec la future Politique de protection des données (DPP), actuellement en cours d'élaboration par le Service juridique du CERN, les départements GS, RH, IT, et l'équipe de sécurité informatique. La première étape essentielle pour une telle DPP est une définition claire des données qui doivent être gardées confidentielles et des données pouvant être traitées comme publiques. Le projet de Politique de classification des données (DCP) propose quatre niveaux de classification : « sensible », « restreint », « interne » et « public ».
• Les « données sensibles » sont l'ensemble des données dont la divulgation pourrait compromettre la confidentialité des données personnelles et/ou qui pourrait causer des dommages au CERN, à la réputation du CERN, ou qui pourrait entraver le travail du CERN. Elles sont hautement confidentielles et une protection appropriée, y compris le cryptage des données ou des moyens équivalents, est primordiale.
• Les « données restreintes » sont aussi confidentielles. Leur diffusion est nécessaire à des fins opérationnelles, mais la divulgation large est inacceptable. Par conséquent, cet accès n'est accordé qu'en cas de nécessité.
• Les « données internes » ne sont pas confidentielles en tant que telles, mais sont destinées à un public interne uniquement. Le public est « le CERN », i.e. tous les membres du personnel.
• Enfin, les « données publiques » sont destinées à la divulgation, et le public est illimité.
Nous avons évité d'utiliser le terme « confidentiel » comme un niveau de classification, car il est utilisé de manière incohérente au CERN et pourrait créer une confusion.
En complément de ce système de classification, il y a une liste d'exemples pour chacun de ces niveaux. Bien que non exhaustive, elle est destinée à vous donner des conseils sur la façon dont certaines données du CERN doivent être classées. Il est important d'avoir l'accord des parties prenantes car le CERN est actuellement dans une phase de transition en ce qui concerne le traitement des données, et le système de classification sera une évolution majeure.
Les détails complets de ce projet et une liste des exemples sont consultables ici. Comme cette politique est en cours d'élaboration, nous vous encourageons vivement à nous soumettre vos commentaires, observations et contributions, en particulier sur la liste des exemples.
Veuillez nous contacter à Computer.Security@cern.ch. Une fois approuvée, la DCP deviendra obligatoire. Les prochaines étapes sont la définition des politiques pour le stockage, l'accès et le transfert de tous types de données, quel que soit leur format (numérique ou papier) ou les supports sur lesquels elles sont hébergées. Restez à l'écoute !
Pour de plus amples informations, consultez notre site web.
