CNIL (F) : Gui­de sur la sécu­ri­té des don­nées après le RGPD

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

Ven­te à emporter (AI)
  • La CNIL a mis à jour le gui­de 2010 sur la sécu­ri­té des don­nées et l’a adap­té au RGPD ; nou­vel­le ver­si­on dis­po­ni­ble uni­quement en fran­çais pour le moment.
  • Le prin­ci­pe de sécu­ri­té des don­nées (artic­le 32 du RGPD) exi­ge une gesti­on appro­priée des ris­ques en quat­re étapes : enre­gi­stre­ment, éva­lua­ti­on, mesu­res, audits.
  • L’éva­lua­ti­on des ris­ques com­prend les con­sé­quen­ces, les sources de ris­que, les scé­na­ri­os de ris­que, les mesu­res de pro­tec­tion exi­stan­tes et la pro­ba­bi­li­té d’occurrence.
  • Le gui­de énumè­re 17 mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les, tel­les que l’au­then­ti­fi­ca­ti­on, le con­trô­le d’ac­cès, la sau­vegar­de, le cryp­ta­ge et le déve­lo­p­pe­ment sécurisé.

La CNIL, l’au­to­ri­té fran­çai­se de con­trô­le de la pro­tec­tion des don­nées, a mis à jour un gui­de sur la sécu­ri­té des don­nées datant de 2010 et l’a adap­té au RGPD. Le gui­de est à jour de 2010 dis­po­ni­ble en anglaisqui nou­vel­le ver­si­on pour l’in­stant uni­quement en fran­çais.

Le prin­ci­pe de sécu­ri­té des don­nées (art. 32 RGPD) vise à une gesti­on adé­qua­te des ris­ques liés à la pro­tec­tion des don­nées. Pour cet­te gesti­on des ris­ques, la CNIL recom­man­de une appro­che en quat­re étapes :

  1. Enre­gi­stre­ment des trai­te­ments de données
  2. Éva­lua­ti­on des ris­ques:
    • Déter­mi­na­ti­on de l’im­pact poten­tiel sur les per­son­nes con­cer­nées dans trois scé­na­ri­os : (i) accès non auto­ri­sé aux don­nées per­son­nel­les ; (ii) modi­fi­ca­ti­on indé­si­ra­ble des don­nées per­son­nel­les ; (iii) per­te de don­nées. Des exemp­les d’ef­fets indé­si­ra­bles pour­rai­ent être l’u­sur­pa­ti­on d’i­den­ti­té, des accu­sa­ti­ons inju­sti­fi­ées suite à des don­nées incor­rec­tes, le fait de ne pas voir les effets second­ai­res d’un trai­te­ment médi­cal par­ce que des don­nées médi­cal­es ont été perdues).
    • Déter­mi­na­ti­on des sources de ris­queIl s’a­git de dan­gers inter­nes et exter­nes, humains et autres ;
    • Déter­mi­na­ti­on des scé­na­ri­os de ris­que, c’est-à-dire les cir­con­stances qui peu­vent con­dui­re à la réa­li­sa­ti­on d’un risque ;
    • Déter­mi­na­ti­on des mesu­res exi­stan­tes ou pos­si­bles pour la pré­ven­ti­on des ris­ques, c’est-à-dire les mesu­res de sécu­ri­té tech­ni­ques et organisationnelles ;
    • Esti­ma­ti­on de la pro­ba­bi­li­té de la sur­ven­an­ce du risque ;
  3. Mesu­res de réduc­tion des ris­ques prend­re et vérifier
  4. Régu­liè­re­ment Con­trô­les de sécurité

La deu­xiè­me étape, l’éva­lua­ti­on des ris­ques, peut être repré­sen­tée com­me suit :

Le gui­de décrit ensuite en 17 cha­pi­t­res les mesu­res de sécu­ri­té tech­ni­ques et orga­ni­sa­ti­on­nel­les selon le RGPD :

  1. Sen­si­bi­li­ser les utilisateurs
  2. Authen­ti­fier les utilisateurs
  3. Gérer les habilitations
  4. Tra­cer les accès et gérer les incidents
  5. Sécu­ri­ser les postes de travail
  6. Sécu­ri­ser l’in­for­ma­tique mobile
  7. Pro­té­ger le réseau infor­ma­tique interne
  8. Sécu­ri­ser les serveurs
  9. Sécu­ri­ser les sites web
  10. Sau­vegar­der et pré­voir la con­ti­nui­té d’activité
  11. Archi­ver de maniè­re sécurisée
  12. Encad­rer la main­ten­an­ce et la des­truc­tion des données
  13. Gérer la sous-traitance
  14. Sécu­ri­ser les éch­an­ges avec d’aut­res organismes
  15. Pro­té­ger les locaux
  16. Encad­rer les déve­lo­p­pe­ments informatiques
  17. Chif­frer, garan­tir l’in­té­gri­té ou signer