Concept de sécurité
Confidentialité en vertu de l’article 32 1 lit. RGPD
Mesures qui sont conçues pour empêcher les personnes non autorisées d’avoir accès aux installations de traitement des données utilisé pour traiter ou utiliser les données personnelles.
Mesures techniques
Système de verrouillage manuel
Système d'accès électronique avec consignation
Serrures de sécurité.
Portes avec bouton à l’extérieur
Mesures organisationnelles
Règlement clef / liste
Visiteurs accompagnés d'employés
Inscription des visiteurs et carte
Mesures visant à empêcher l'utilisation de systèmes de traitement de données (ordinateurs) par des personnes non autorisées.
Mesures techniques
Connexion avec nom d'utilisateur + mot de passe
Connexion avec des données biométriques
Serveur de logiciels anti-virus
Logiciels anti-virus clients
Chiffrement Pare-feu des supports de données
Cryptage des smartphones
Verrouillage automatique des ordinateurs de bureau
Cryptage des ordinateurs portables /tablettes
Mesures organisationnelles
Gestion des autorisations des utilisateurs
Création de profils d'utilisateurs
Directive « mot de passe sécurisé »
Directive « suppression / destruction »
Directive générale sur la protection et/ou la sécurité des données
Politique des périphériques mobiles
Instructions « Verrouillage manuel des ordinateurs du bureau »
Il s'agit de mesures qui garantissent que les personnes qui sont habilitées à utiliser un système de traitement de données puissent exclusivement avoir accès aux données qui sont soumises à leurs droit d’accès, et que les données à caractère personnel ne puissent pas être lues, copies, modifiées ou supprimées lors du traitement, de l’utilisation, et après leur sauvegarde.
Mesures techniques
Suppression physique des supports de données
Enregistrement des accès et des consultations, concrètement lors de la saisie, la modification et la suppression de données
Cryptage de supports de données
Cryptage des smartphones
Mesures organisationnelles
Utilisation de concepts de droits
Nombre minimal d’administrateurs
Administration des droits d’utilisateurs par des administrateurs
Il s'agit de mesures qui garantissent que les données recueillies à différentes fins puissent être traitées séparément. Cela peut être assuré par exemple par une séparation logique et physique des données.
Mesures techniques
Séparation entre l’environnement productif et l’environnement d'essai
Séparation physique (bases de données/ supports de données
Aptitude multi-clients des applications pertinentes
Mesures organisationnelles
Commande par le concept d’autorisation
Définition de droits d’accès aux bases de données)
Le traitement de données à caractère personnel effectué de telle manière que celles-ci ne puissent plus être affectées à une personne concernée sans que des informations supplémentaires soient nécessaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles correspondantes :
Mesures techniques
En cas de pseudonymisation : Séparation des données d'affectation et conservation dans un système séparé et sécurisé (éventuellement crypté)
Mesures organisationnelles
Instruction interne pour anonymiser/ pseudonymiser si possible des données personnelles en cas de transfert ou même après l'expiration du délai légal de suppression
Intégrité (article 32 lit. 1 b du RGPD)
Il s'agit de mesures qui garantissent que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant leur transmission électronique ou pendant leur transport ou leur stockage sur des supports de données et qu'il est possible de vérifier et de déterminer les endroits vers lesquels les données à caractère personnel doivent être transférées par les installations de transmission de données.
Mesures techniques
Utilisation du VPN
Enregistrement des accès et des consultations
Récipients de transport sécurisés
Mise à disposition de connexions cryptées telles que sftp, https
Mesures organisationnelles
Soin lors de la sélection du personnel de transport et des véhicules
Il s'agit de mesures qui garantissent qu'il peut être vérifié et établi a posteriori si des données à caractère personnel ont été saisies, modifiées ou supprimées dans des systèmes ou applications de traitement des données, et par qui.
Mesures techniques
Enregistrement technique de la saisie, de la modification et de la suppression des données
Contrôle manuel ou automatisé des enregistrements
Mesures organisationnelles
Aperçu des programmes avec lesquels des données peuvent être saisies, modifiées ou supprimées
Traçabilité de la saisie, de la modification et de la suppression des données par noms d'utilisateurs individuels (et non par groupes d'utilisateurs)
Attribution de droits de saisie, de modification et de suppression de données sur la base d'un concept d'autorisation
Conservation des formulaires à partir desquels des données ont été prises en charge dans des processus automatisés
Compétences claires en matière de suppressions
Disponibilité et capacité de charge (art. 32 al. 1 lit. b RGPD)
Il s'agit de mesures qui garantissent que les données à caractère personnel soient protégées contre la destruction ou la perte accidentelle.
Mesures techniques
Mesures organisationnelles
Concept de sauvegarde et de restauration
Contrôle du processus de sauvegarde
Conservation des supports de sauvegarde à un emplacement sécurisé en dehors de la salle des serveurs
Procédure de vérification, d'estimation et d'évaluation régulières (art. 32, al. 1 lit. d du RGPD, art. 25, al. 1 du GDPR)
Mesures techniques
Mesures organisationnelles
Employés formés et soumis à l’obligation de confidentialité/ de secret des données
Sensibilisation régulière des employés, au moins une fois par an
L'organisation se soumet aux obligations d'information prévues aux articles 13 et 14 du RGPD
Paramètres par défaut favorisant la protection des données (art. 25, al. 2 du GDPR)
Mesures techniques
On ne recueillera pas plus de données personnelles que ce qui est nécessaire pour la fin en question.
Simple exercice du droit d’opposition de la personne concernée par des mesures techniques
Mesures organisationnelles
tesa 360 – Architecture système

Architecture système
- Serveur web et de bases de données redondants
- Pare-feu et connexion SSL sécurisée
- Répartition de la charge, sauvegarde et restriction d'accès
- Codes d'identification cryptés stockés uniquement, décryptage impossible
- Système de prévention et de détection des intrusions, unités d'alimentation de secours
- Surveillance & temps de fonctionnement 24 h sur 24 et 7 j sur 7 / Contrôle du fonctionnement
- Hub internet haut débit rapide et fiable
- Certifié haute sécurité : Certification ISO 27001 pour la sécurité des données et des TI