Sécurité des données personnelles : des précautions pratiques actualisées

La CNIL vient de publier une version mise à jour de son guide pratique sur la sécurité des données personnelles.

Le contenu et l’objet du guide :

En introduction, le guide rappelle le cadre de la gestion des risques constituée de 3 actions :

-1/ recenser les traitements des données personnelles, automatisés ou non, les données traitées (ex : fichiers clients, contrats) et les supports sur lesquels ces traitement reposent (ex : ordinateur, logiciels, wi-fi, internet, photocopies).

-2/ apprécier les risques engendrés par chaque traitement.

-3/ mettre en oeuvre des mesures pour traiter chaque risque et vérifier leur application.

S’en suivent 17 fiches synthétisant les points essentiels à vérifier pour assurer un socle minimal de protection des données personnelles. Dans chaque fiche, sont ainsi rappelées les précautions élémentaires à mettre en œuvre de façon systématique et les pratiques à bannir. Et pour ceux qui voudraient aller plus loin en renforçant davantage la protection des données, des mesures complémentaires sont également indiquées.

La CNIL fournit aussi, à la fin de son guide, un questionnaire destiné à évaluer son niveau de sécurité.

Le guide s’adresse naturellement aux DPO (Data protection officer ou, en français, délégué à la protection des données), RSSI (responsables de la sécurité des systèmes d’information) et informaticiens, mais il sera également utile aux juristes et à tout professionnel amené à traiter de données personnelles.

Les principales nouveautés de l’édition 2023 :

Cette version actualisée du guide succède à celle de 2018 et intègre l’évolution des risques ainsi que des travaux établis par la CNIL au cours des 5 dernières années.

Les changements les plus notables concernent :

– l’authentification des utilisateurs : la fiche n°2 consacrée à ce sujet prend en compte la recommandation relative aux mots de passe et autres secrets partagés adoptée en 2022 par la CNIL ;

– le suivi des opérations et la gestion des incidents : la fiche n°4 tient compte de la recommandation de la CNIL adoptée en 2021 concernant la traçabilité des accès et des actions dans des systèmes multi-utilisateurs ;

– l’encadrement des développements informatiques : la fiche n°12 est enrichie d’éléments provenant du guide de la CNIL « RGPD pour l’équipe de développement » du 13 décembre 2021;

– la sécurisation des échanges avec d’autres organismes ainsi que les fonctions de hachage, signatures numériques et chiffrement : les fiches n°15 et n°17 intègrent les pratiques actuellement recommandées dans ces domaines.

CNIL, Guide pratique RGPD – Sécurité des données personnelles, 3 avril 2023