La protection des données personnelles ou des données sensibles nécessite de prendre des "mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque".

En plus d’être hébergé sur une infrastructure répondant aux normes ISO 27001, ISO 50001 et HADS, BlueFiles vous permet, grâce à un usage simple, d’apporter la sécurisation à vos données sortantes tout étant en conformité avec les recommandations de la CNIL.

Sensibilisation des utilisateurs (cf: FICHE 1 GUIDE CNIL)

Il ne s'agit pas d'une tâche anodine et pour sensibiliser il faut que l’outil soit conçu de manière à ce que :

  • Lors de l’usage de fonctions permettant d’envoyer un document ne requérant pas d'authentification de la part des destinataires pour y accéder, il faut indiquer aux utilisateurs qu’ils prennent un risque et que dans ce cadre, l'envoi des données ne respecte pas la certification HDS, ni la certification ISO 27001. Cet avertissement doit être indiqué à chaque fois (la sensibilisation passe par la répétition !) qu'un tel type d'usage est réalisé.
  • L’outil doit répondre à une ergonomie moderne / "user friendly" pour faire adhérer les utilisateurs à l’usage d’une authentification forte, sans qu'ils aient le sentiment de réaliser une opération complexe. BlueFiles dispose d’une interface full web html5 responsive, d’un add-in Outlook et d’une api dédiée (pour les envois automatisés) pour simplifier l’usage au maximum.

Authentifier les utilisateurs (cf: FICHE 2 GUIDE CNIL)

Pour tout envoi de données, notamment de santé et/ou personnelles, la loi nécessite que l'émetteur puisse être identifié de manière précise.

Si vos utilisateurs/services font usage de comptes partagés (telle qu'une adresse email commune), sur votre solution actuelle, sans identification individuelle, c’est tout simplement interdit (voir fiche 2). Un tel usage pouvant être très utile et souvent structurant pour une organisation spécifique, BlueFiles permet une gestion des comptes partagés conforme à la loi, en ajoutant un niveau d'identification supplémentaire, propre à chaque utilisateur (même si ces derniers ne possèdent pas d'adresse email qui leur est propre), permettant ainsi d'identifier précisement qui est à l'origine de tout envoi réalisé.

De plus, votre solution actuelle permet-elle, comme BlueFiles, aux usagers (émetteurs comme destinataires) de :

  • Mettre en place une double authentification (par TOTP)
  • Forcer une authentification forte (à 2 facteurs) pour un envoi donné

Sécuriser les échanges avec d’autres organismes (cf: FICHE 14 – GUIDE CNIL)

La messagerie électronique ne constitue pas un moyen de communication sûr pour transmettre des données personnelles, sans mesure complémentaire.

Quels sont les risques ?

De par leur durée de vie, les données peuvent avoir une valeur marchande très importante, c'est par exemple le cas pour les données de santé (https://healthcare.orange.com/fr/dossiers/securite-des-donnees-de-sante/).

Hacking/fuite volontaire ou non :
Suivre les recommandations pré-citées, à savoir : authentification (forte de surcroît) indispensable pour tous les utilisateurs, mot de passe robuste, sensibilisation permanente, hébergement solide et normé sont les seules réponses acceptables. Les ignorer c’est se confronter à des risques/coûts très élevés.

GAFAM : 
La SEULE réponse technologique face à l’appétit des géants du web (GAFAM, mais aussi les BATX en Asie) est le chiffrement de bout en bout (avec authentification forte) et BlueFiles le propose, hébergé en France sur serveur HDS, en conformité avec toutes les fiches du guide CNIL et de manière user friendly. Déployer le chiffrement de bout en bout n’est pas un simple principe de précaution, c’est une obligation pour les responsables de traitement qui peuvent le faire sur des données sensibles, de santé ou à caractère personnel (cf. [FICHE 14 GUIDE CNIL] – section Pour aller plus loin – « L’utilisation d’algorithmes à clés publiques, lorsque les différents acteurs ont mis en place une infrastructure de gestion de clés publiques, apparaît particulièrement adaptée pour garantir la confidentialité et l’intégrité des communications, ainsi que l’authentification de l’émetteur. »)

L’email sans un chiffrement de type PGP ou S/MIME (voir article sur le PGP – S/MIME) n’étant plus acceptable pour transférer des données sensibles ou à caractère personnel, vous devez utiliser une solution de transfert de fichier adaptée à cet usage. Les solutions de dossier synchronisé qui permettent un partage par lien, avec ou sans mot de passe, à transmettre par email, n’apportent pas les garanties suffisantes de confidentialité et d’authentification recommandées.

Conclusion

Avec BlueFiles, chaque envoi fait un bond technologique en terme de respect règlementaire en s’inscrivant dans un chiffrement de bout en bout reposant sur l'état de l'art en cryptographie (algorithmes RSAES-OAEP, RSASSA-PSS, AES-GCM, ...) sur une plateforme HDS, avec sensibilisation à chaque étape, authentification forte, accès journalisé, rapport de transmission et accusé de réception.

cancel
* Champs obligatoires

Connexion en cours, veuillez patienter.

* Champs obligatoires