Vie des affaires
Protection des données personnelles
Sécurité des données personnelles : des précautions pratiques actualisées
La CNIL vient de publier une version mise à jour de son guide pratique sur la sécurité des données personnelles.
Le contenu et l’objet du guide :
En introduction, le guide rappelle le cadre de la gestion des risques constituée de 3 actions :
-1/ recenser les traitements des données personnelles, automatisés ou non, les données traitées (ex : fichiers clients, contrats) et les supports sur lesquels ces traitement reposent (ex : ordinateur, logiciels, wi-fi, internet, photocopies).
-2/ apprécier les risques engendrés par chaque traitement.
-3/ mettre en oeuvre des mesures pour traiter chaque risque et vérifier leur application.
S’en suivent 17 fiches synthétisant les points essentiels à vérifier pour assurer un socle minimal de protection des données personnelles. Dans chaque fiche, sont ainsi rappelées les précautions élémentaires à mettre en œuvre de façon systématique et les pratiques à bannir. Et pour ceux qui voudraient aller plus loin en renforçant davantage la protection des données, des mesures complémentaires sont également indiquées.
La CNIL fournit aussi, à la fin de son guide, un questionnaire destiné à évaluer son niveau de sécurité.
Le guide s’adresse naturellement aux DPO (Data protection officer ou, en français, délégué à la protection des données), RSSI (responsables de la sécurité des systèmes d’information) et informaticiens, mais il sera également utile aux juristes et à tout professionnel amené à traiter de données personnelles.
Les principales nouveautés de l'édition 2023 :
Cette version actualisée du guide succède à celle de 2018 et intègre l’évolution des risques ainsi que des travaux établis par la CNIL au cours des 5 dernières années.
Les changements les plus notables concernent :
- l’authentification des utilisateurs : la fiche n°2 consacrée à ce sujet prend en compte la recommandation relative aux mots de passe et autres secrets partagés adoptée en 2022 par la CNIL ;
- le suivi des opérations et la gestion des incidents : la fiche n°4 tient compte de la recommandation de la CNIL adoptée en 2021 concernant la traçabilité des accès et des actions dans des systèmes multi-utilisateurs ;
- l’encadrement des développements informatiques : la fiche n°12 est enrichie d'éléments provenant du guide de la CNIL « RGPD pour l'équipe de développement » du 13 décembre 2021;
- la sécurisation des échanges avec d’autres organismes ainsi que les fonctions de hachage, signatures numériques et chiffrement : les fiches n°15 et n°17 intègrent les pratiques actuellement recommandées dans ces domaines.
CNIL, Guide pratique RGPD - Sécurité des données personnelles, 3 avril 2023