La Cnil publie son guide sur la sécurité des données personnelles pour aider à la mise en conformité des professionnels.
Précautions élémentaires sur la sécurité des données personnelles
Le guide sur la sécurité des données personnelles (1) rappelle tout d’abord les précautions élémentaires devant être mises en œuvre de façon systématique au regard de l’article 32 du RGPD, lequel dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Gestion des risques relatifs à la sécurité des données personnelles en quatre étapes
Le guide sur la sécurité des données personnelles a vocation à être utilisé dans le cadre d’une gestion des risques et se base sur quatre grandes étapes :
- recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent ;
- apprécier les risques engendrés pour chaque traitement grâce à l’identification
– des impacts potentiels,
– des sources de risque,
– des menaces réalisables ; - mettre en œuvre et vérifier les mesures prévues ;
- faire réaliser des audits de sécurité périodiques.
17 fiches pour aider à évaluer le niveau de sécurité des données personnelles
Le guide sur la sécurité des données personnelles prévoit dix-sept fiches pour aider les organismes à évaluer le niveau de sécurité des données personnelles.
Ces fiches décrivent les précautions élémentaires recommandées par la Cnil pour les dix-sept thèmes suivants :
1. Sensibiliser les utilisateurs
La Cnil préconise de rédiger une charte informatique et de lui donner une force contraignante (en l’annexant au règlement intérieur) et de prévoir la signature d’engagement de confidentialité ou d’insérer dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.
2. Authentifier les utilisations
La Cnil recommande de définir un identifiant unique par utilisateur et d’interdire les comptes partagés. Elle précise qu’un mot de passe contient 12 caractères minimum de 4 types différents si l’authentification repose uniquement sur le mot de passe.
3. Gérer les habilitations
Il est conseillé de limiter les accès aux seules données dont un utilisateur a besoin en définissant des profils d’habilitation, de supprimer les permissions d’accès obsolètes et de réaliser une revue annuelle des habilitations.
4. Tracer les accès et gérer les incidents
La Cnil recommande de prévoir les procédures pour les notifications de violation de données.
5. Sécuriser les postes de travail
Afin de garantir la sécurité des données personnelles et de sécuriser convenablement les postes de travail, la Cnil préconise de mettre en place une procédure de verrouillage automatique de session, d’utiliser des antivirus régulièrement mis à jour, d’installer un pare-feu logiciel et de recueillir l’accès de l’utilisateur avant toute intervention sur son poste.
6. Sécuriser l’informatique mobile
La Cnil recommande, pour sécuriser l’informatique mobile, de prévoir des moyens de chiffrement des équipements mobiles et de sauvegarder les données.
7. Protéger le réseau informatique interne
La Cnil préconise de limiter les flux réseau au strict nécessaire et de sécuriser les accès distants des appareils informatiques nomades.
8. Sécuriser les serveurs
Concernant les outils et interfaces d’administration, la Cnil recommande de :
- limiter l’accès aux seules personnes habilitées ;
- installer sans délai les mises à jour critiques ;
- assurer une disponibilité des données.
9. Sécuriser les sites web
La Cnil conseille de vérifier qu’aucun mot de passe ou identifiant ne passe par les URL ainsi que le contrôle des entrées des utilisateurs correspondant à ce qui est attendu.
10. Sauvegarder et prévoir la continuité d’activité
La Cnil recommande d’effectuer des sauvegardes régulières et de stocker les supports de sauvegarde dans un endroit sûr.
11. Archiver de manière sécurisée
La Cnil recommande, à minima, de mettre en œuvre des modalités d’accès spécifiques aux données archivées et détruire les archives obsolètes de manière sécurisée.
12. Encadrer la maintenance et la destruction de des données
La Cnil suggère d’enregistrer les interventions de maintenance dans une main courante et d’encadrer par un responsable de l’organisme les interventions par des tiers.
13. Gérer la sous-traitance
Il est recommandé de prévoir une clause spécifique dans les contrats des sous-traitants et d’assurer l’effectivité des garanties prévues (audits de sécurité, visites, etc.).
14. Sécuriser les échanges avec d’autres organismes
La Cnil préconise de chiffrer les données avant leur envoi et de s’assurer qu’il s’agisse du bon destinataire.
15. Protéger les locaux
Il apparaît nécessaire pour la protection des locaux de restreindre les accès au moyen de portes verrouillées et d’installer des alarmes anti-intrusion.
16. Encadrer les développements informatiques
Il est ainsi élémentaire pour la Cnil d’intégrer la protection de la vie privée, y compris des exigences de sécurité des données dès la conception d’un développement informatique.
17. Chiffrer, garantir l’intégrité ou signer
Les signatures numériques, en plus d’assurer l’intégrité, permettent de vérifier l’origine de l’information et son authenticité. Le chiffrement permet de garantir également la confidentialité d’un message.
En conclusion, ce guide sur la sécurité des données personnelles permet aux organismes
- de connaître les critères de niveau de sécurité élémentaires ;
- d’instaurer une charte informatique, des modules de formation et des spécifications relatifs à la sécurité ;
et ce dès la conception de leurs produits et leurs services.
Polyanna Bigle
Lucie Antigny
Lexing Sécurité des systèmes d’information et dématérialisation
(1) Guide de la Cnil sur la sécurité des données personnelles.