La Cnil publie son guide sur la sécurité des données personnelles

sécurité des données personnellesLa Cnil publie son guide sur la sécurité des données personnelles pour aider à la mise en conformité des professionnels.

Précautions élémentaires sur la sécurité des données personnelles

Le guide sur la sécurité des données personnelles (1) rappelle tout d’abord les précautions élémentaires devant être mises en œuvre de façon systématique au regard de l’article 32 du RGPD, lequel dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Gestion des risques relatifs à la sécurité des données personnelles en quatre étapes

Le guide sur la sécurité des données personnelles a vocation à être utilisé dans le cadre d’une gestion des risques et se base sur quatre grandes étapes :

  • recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent ;
  • apprécier les risques engendrés pour chaque traitement grâce à l’identification
    – des impacts potentiels,
    – des sources de risque,
    – des menaces réalisables ;
  • mettre en œuvre et vérifier les mesures prévues ;
  • faire réaliser des audits de sécurité périodiques.

17 fiches pour aider à évaluer le niveau de sécurité des données personnelles

Le guide sur la sécurité des données personnelles prévoit dix-sept fiches pour aider les organismes à évaluer le niveau de sécurité des données personnelles.

Ces fiches décrivent les précautions élémentaires recommandées par la Cnil pour les dix-sept thèmes suivants :

1. Sensibiliser les utilisateurs

La Cnil préconise de rédiger une charte informatique et de lui donner une force contraignante (en l’annexant au règlement intérieur) et de prévoir la signature d’engagement de confidentialité ou d’insérer dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.

2. Authentifier les utilisations

La Cnil recommande de définir un identifiant unique par utilisateur et d’interdire les comptes partagés. Elle précise qu’un mot de passe contient 12 caractères minimum de 4 types différents si l’authentification repose uniquement sur le mot de passe.

3. Gérer les habilitations

Il est conseillé de limiter les accès aux seules données dont un utilisateur a besoin en définissant des profils d’habilitation, de supprimer les permissions d’accès obsolètes et de réaliser une revue annuelle des habilitations.

4. Tracer les accès et gérer les incidents

La Cnil recommande de prévoir les procédures pour les notifications de violation de données.

5. Sécuriser les postes de travail

Afin de garantir la sécurité des données personnelles et de sécuriser convenablement les postes de travail, la Cnil préconise de mettre en place une procédure de verrouillage automatique de session, d’utiliser des antivirus régulièrement mis à jour, d’installer un pare-feu logiciel et de recueillir l’accès de l’utilisateur avant toute intervention sur son poste.

6. Sécuriser l’informatique mobile

La Cnil recommande, pour sécuriser l’informatique mobile, de prévoir des moyens de chiffrement des équipements mobiles et de sauvegarder les données.

7. Protéger le réseau informatique interne

La Cnil préconise de limiter les flux réseau au strict nécessaire et de sécuriser les accès distants des appareils informatiques nomades.

8. Sécuriser les serveurs

Concernant les outils et interfaces d’administration, la Cnil recommande de :

  • limiter l’accès aux seules personnes habilitées ;
  • installer sans délai les mises à jour critiques ;
  • assurer une disponibilité des données.

9. Sécuriser les sites web

La Cnil conseille de vérifier qu’aucun mot de passe ou identifiant ne passe par les URL ainsi que le contrôle des entrées des utilisateurs correspondant à ce qui est attendu.

10. Sauvegarder et prévoir la continuité d’activité

La Cnil recommande d’effectuer des sauvegardes régulières et de stocker les supports de sauvegarde dans un endroit sûr.

11. Archiver de manière sécurisée

La Cnil recommande, à minima, de mettre en œuvre des modalités d’accès spécifiques aux données archivées et détruire les archives obsolètes de manière sécurisée.

12. Encadrer la maintenance et la destruction de des données

La Cnil suggère d’enregistrer les interventions de maintenance dans une main courante et d’encadrer par un responsable de l’organisme les interventions par des tiers.

13. Gérer la sous-traitance

Il est recommandé de prévoir une clause spécifique dans les contrats des sous-traitants et d’assurer l’effectivité des garanties prévues (audits de sécurité, visites, etc.).

14. Sécuriser les échanges avec d’autres organismes

La Cnil préconise de chiffrer les données avant leur envoi et de s’assurer qu’il s’agisse du bon destinataire.

15. Protéger les locaux

Il apparaît nécessaire pour la protection des locaux de restreindre les accès au moyen de portes verrouillées et d’installer des alarmes anti-intrusion.

16. Encadrer les développements informatiques

Il est ainsi élémentaire pour la Cnil d’intégrer la protection de la vie privée, y compris des exigences de sécurité des données dès la conception d’un développement informatique.

17. Chiffrer, garantir l’intégrité ou signer

Les signatures numériques, en plus d’assurer l’intégrité, permettent de vérifier l’origine de l’information et son authenticité. Le chiffrement permet de garantir également la confidentialité d’un message.

En conclusion, ce guide sur la sécurité des données personnelles permet aux organismes

  • de connaître les critères de niveau de sécurité élémentaires ;
  • d’instaurer une charte informatique, des modules de formation et des spécifications relatifs à la sécurité ;

et ce dès la conception de leurs produits et leurs services.

Polyanna Bigle
Lucie Antigny
Lexing Sécurité des systèmes d’information et dématérialisation

(1) Guide de la Cnil sur la sécurité des données personnelles.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *