Second exercice sur le RGPD
Énoncé de l'exercice
Vous êtes technicien(ne) supérieur(e) systèmes et réseaux dans une PME spécialisée dans la vente en ligne. Un matin, vous constatez une anomalie : plusieurs utilisateurs signalent avoir reçu des e-mails suspects contenant des informations détaillées (nom, adresse, détails de commande) sur des clients de l'entreprise. Après enquête, vous découvrez qu'une faille de sécurité dans le serveur de bases de données a permis à un acteur malveillant d'accéder aux informations personnelles de plusieurs centaines de clients (noms, adresses, e-mails, numéros de téléphone).
Votre responsable, préoccupé par l'impact sur l'image de l'entreprise, hésite à communiquer l'incident à qui que ce soit pour ne pas « faire de vagues ». De plus, des sauvegardes de la semaine précédente révèlent que le serveur n'était pas entièrement chiffré et que des journaux de connexion (logs) manquent, rendant difficile l'évaluation précise de l'ampleur de la fuite.
Tâches à réaliser
- Identifier trois (3) risques ou non-conformités éventuels par rapport au RGPD (et/ou aux règles de sécurité internes).
- Pensez à la confidentialité, à la sécurité des données, à l'obligation de notification, etc.
- Proposer deux (2) améliorations ou mesures techniques/organisationnelles à mettre en place pour être davantage conforme au RGPD et limiter les risques à l'avenir.
- Justifiez les mesures proposées en vous appuyant sur les principes RGPD (sécurité, minimisation, accountability, etc.).
- Rédiger un court argumentaire (5 à 8 lignes) pour sensibiliser votre responsable à l'importance de :
- Respecter les obligations de notification (autorité de contrôle et personnes concernées).
- Assurer la traçabilité et la sécurisation des données (ex : chiffrement, gestion des journaux de connexion).
- Appliquer une politique de sécurité proactive et conforme au RGPD.
Consignes
- Soyez précis dans vos arguments et veillez à justifier chaque risque/non-conformité.
- Pour les mesures correctives, expliquez clairement en quoi elles permettent de répondre aux exigences du RGPD.
- Adoptez une rédaction concise et professionnelle, comme si vous adressiez une note interne à votre direction.