Les 10 conseils de la Cnil pour sécuriser son système d’information

Les 10 conseils de la Cnil pour sécuriser son système d’information
La Cnil a publié sur son site web « 10 conseils pour sécuriser votre système d’information », le 12 octobre dernier. Ces 10 conseils s’inscrivent naturellement dans le cadre de la loi Informatique et libertés. Pour mémoire, cette loi organise la gestion des données personnelles autour de quatre axes : 

 

  • les formalités préalables (déclarations normales, simplifiées, autorisations,…) ;
  • le droit des personnes (droit à l’information, droit d’accès, droit de modification,…) ;
  • les flux transfrontières de données ;
  • la sécurité des traitements et de leurs données.

    Ce dernier axe relatif à la sécurité, bien trop souvent ignoré, repose essentiellement sur les articles 34 et 35 de la loi Informatique et libertés. L’article 34 de la loi dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. […] ». Pour sa part, l’article 35 vise les cas où le responsable du traitement sous-traite tout ou partie de ses traitements automatisés de données auprès d’un tiers et définit les relations entre le sous-traitant et le responsable du traitement, pour ce qui concerne la sécurité. Ces 10 conseils s’intègrent donc dans le cadre des conditions d’application des articles 34 et 35 de la loi.

    Si la Commission s’est déjà prononcée de très nombreuses fois sur les questions de sécurité, lorsqu’un dossier ou un projet lui est soumis, c’est en revanche la première fois ou l’une des premières fois que la Commission se penche sur cette question en l’abordant selon une approche générale. S’agissant du statut du document lui-même, il s’agit de « conseils » et non d’une « délibération ». Ces « conseils » ne sont pas liants au plan juridique, mais leur portée ne sauraient être pour autant sous-estimée. A tout le moins, ces conseils s’intègrent dans ce qu’on pourrait qualifier de référentiel de « bonnes pratiques ». Ainsi, les entreprises, sans y être contraintes sont vivement invitées à suivre ces conseils de la Cnil, gardienne de la loi Informatique et libertés.

     

    Sans entrer dans le détail de ces dix conseils, il convient de relever que le conseil n°2 « Concevoir une procédure de création et de suppression des comptes utilisateurs » doit être mis en place au sein des entreprise, mais également intégré dans la charte de l’utilisation des systèmes d’information. S’agissant des conseils n°9 et 10, respectivement « Anticiper et formaliser une politique de sécurité du système d’information » et « Sensibiliser les utilisateurs aux risques informatiques et à la loi informatique et libertés », ils imposent à l’entreprise de dépasser le stade de la simple charte et de passer à celui d’une véritable gouvernance de la sécurité au sein de laquelle on retrouvera la charte des personnels pour l’utilisation des systèmes d’information mais aussi la charte « administrateur», la charte « accès », ou encore la charte « Informatique et libertés ». De même que le conseil n°10 impose également le passage d’une gouvernance statique à une gouvernance dynamique à travers des plans de formations ou de sensibilisation encore bien peu nombreux dans les entreprises.

    Les 10 conseils de la Cnil.

  • (Mise en ligne Novembre 2009)

  • Retour en haut