Modèle pour les délégués à la protection des données
de R. Olschewsk
Le principe du double contrôle signifie que les mesures importantes ne doivent pas être prises par une seule personne. L'objectif est de limiter les erreurs et les possibilités d'abus, car la probabilité qu'une personne soit compromise est plus élevée que celle que deux personnes collaborent de manière abusive.
Le principe du double contrôle provient à l'origine de la gestion de la qualité et de l'authentification, mais il revêt également une importance sans cesse croissante dans le domaine de la protection des données.
Le grand classique de ce principe est ce que l'on appelle le deuxième avis dans le domaine de la prise de décision médicale. Mais on trouve également des procédures de contrôle à quatre yeux dans le secteur bancaire ou dans l'administration publique.
Pour le délégué à la protection des données, le principe du double contrôle revêt une importance particulière, notamment lors de l'élaboration d'un concept de droits et de rôles, en particulier pour les droits d'administrateur et la preuve des processus de suppression.
Le principe du double contrôle peut par exemple être inscrit dans le cadre des directives de protection des données de l'entreprise, de sorte que l'on veille à ce que l'accès à l'archivage des e-mails ne soit possible que si deux administrateurs sont connectés. D'un autre côté, la mise en œuvre risque de rendre les contrôles plus superficiels en s'appuyant sur l'autre personne. C'est pourquoi une structure organisationnelle hiérarchique devrait également être respectée dans le cadre du principe du double contrôle.
Les logiciels standard tels que SAP ont fixé, en particulier pour les infotypes RH, le principe de la double vérification lors de la modification des infotypes par ce que l'on appelle des codes de blocage. Un enregistrement existe donc, mais ne devient complet que lorsqu'un autre détenteur de droits débloque cet enregistrement. Le processus peut être planifié dans une variante symétrique et une variante asymétrique.
Dans la variante asymétrique, un utilisateur peut créer, modifier et supprimer des enregistrements, qui sont alors automatiquement bloqués dans un premier temps. L'autre utilisateur peut à son tour bloquer et débloquer les enregistrements. Dès que l'utilisateur B déverrouille les enregistrements, l'autre utilisateur ne peut plus les modifier. Cela ne serait possible que si l'utilisateur B les verrouillait à nouveau.
Dans la variante symétrique, les deux utilisateurs ont les mêmes droits, mais croisés, c'est-à-dire que la validation ne peut pas être effectuée par celui qui a créé les enregistrements.
Les entreprises devraient examiner les possibilités d'utilisation du double contrôle pour les opérations de traitement de données sensibles et les mettre en œuvre si nécessaire.
Plus d'informations :
- bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m04/m04129.html
- bsi.bund.de/SharedDocs/Downloads/FR/BSI/ISRevision/Leitfaden_IS-Revision-v2_pdf.pdf?__blob=publicationFile