Partie 9 — Sécurité des données
⏱️ TL;DR — La sécurité, c’est le 6e principe (intégrité & confidentialité) devenu obligation concrète à l’article 32 : mettre en œuvre des mesures techniques et organisationnelles appropriées au risque. « Appropriées » est le mot-clé : le RGPD ne t’impose pas une liste de cases, il te demande de raisonner par le risque pour les personnes et de documenter tes choix. Cette partie descend au niveau du dev : chiffrement, hachage des mots de passe, contrôle d’accès, facteur humain, et le piège qui coûte cher — les données personnelles qui fuitent dans les logs. À la fin, on sécurise FormaCampus avec une checklist actionnable.
Le problème qu’on résout
« On est conformes, on a une politique de confidentialité. » Sauf que les mots de passe sont hachés en MD5, l’e-mail et l’IP de chaque utilisateur atterrissent en clair dans les logs applicatifs, tout le monde dans l’équipe a un accès admin à la prod, et la dernière sauvegarde testée date de… jamais. La sécurité n’est pas une couche qu’on ajoute à la fin : c’est une propriété du système, qui se décide dans le schéma de données, le contrôle d’accès et les processus d’équipe.
Le RGPD ne récompense pas la case cochée, il récompense le raisonnement documenté. Une faille n’est pas seulement un incident technique : dès qu’elle touche des données personnelles, elle devient une violation (Partie 10), notifiable à la CNIL, avec un risque de sanction et surtout une perte de confiance des personnes. Cette partie te donne les réflexes pour éviter d’en arriver là.
Ce que tu sauras faire à la fin de cette partie
- Appliquer l’approche par le risque de l’article 32 et remplir un tableau risque → mesures.
- Choisir les bonnes mesures techniques : chiffrement en transit et au repos, pseudonymisation, hachage correct des mots de passe, gestion des secrets, sauvegardes.
- Concevoir un contrôle d’accès au moindre privilège (RBAC, MFA, revue des accès, cloisonnement).
- Traiter la sécurité comme un sujet organisationnel (sensibilisation, départs, procédures) — le facteur humain d’abord.
- Écrire des logs propres qui ne fuient pas de données personnelles, et sécuriser FormaCampus avec une checklist.
Les chapitres
| # | Chapitre | En un mot |
|---|---|---|
| 9.1 | L’obligation de sécurité (art. 32) | Raisonner par le risque, pas par la checklist. |
| 9.2 | Mesures techniques | Chiffrement, hachage, secrets, sauvegardes. |
| 9.3 | Contrôle d’accès & habilitations | Moindre privilège, RBAC, MFA, cloisonnement. |
| 9.4 | Sécurité organisationnelle | Le facteur humain, 1re cause d’incident. |
| 9.5 | Journaux (logs) & atelier | Le piège dev, et on sécurise FormaCampus. |
On commence : L’obligation de sécurité (art. 32).