La Cnil a publié son Guide de la sécurité des données personnelles de 2024 afin de rappeler les précautions de sécurité à mettre en œuvre.
Contenu du Guide de la sécurité des données personnelles de 2024
Guide de la sécurité des données personnelles de 2024
L’objectif du guide est d’aider les organismes à assurer la sécurité des données personnelles qu’ils traitent.
L’obligation de sécurité en matière de données personnelles existe depuis la loi informatique et libertés de 1978. L’adoption du Règlement général sur la protection des données (RGPD) a renforcé cette obligation.
- En effet, l’article 32 énonce que :
- « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Le Guide de la sécurité des données personnelles de 2024 va rappeler les précautions élémentaires à mettre en œuvre. Il va également introduire des mesures plus avancées visant à renforcer davantage la protection des données. La Cnil intègre au guide des recommandations d’autres autorités telles que l’ANSSI et le CEPD.
En comparaison avec son édition de 2023, la Cnil a introduit cinq nouvelles fiches thématiques :
- • Fiche 1 : Piloter la sécurité des données ;
- • Fiche 22 : Cloud : Informatique en nuage ;
- • Fiche 23 : Applications mobiles : Conception et développement ;
- • Fiche 24 : Intelligence artificielle : Conception et apprentissage ;
- • Fiche 25 : API : interface de programmation applicative.
La Cnil a également ajouté des modifications aux fiches existantes afin de les adapter aux évolutions des menaces et connaissances. Elle va notamment s’intéresser à l’utilisation des équipements personnels en environnement professionnel (BYOD).
Piloter la sécurité des données
Guide de la sécurité des données personnelles de 2024
La Cnil place le pilotage de la sécurité des données au premier plan. Le guide énonce dans un premier temps que l’implication de la direction dans la sécurité des données personnels est nécessaire.
De plus, un plan d’action relatif à la sécurité informatique et des mesures techniques et organisationnelles sont nécessaires. Le guide met l’accent sur la périodicité du contrôle de l’effectivité de ces mesures. La Cnil insiste en effet sur le fait que la sécurité des données personnelles n’est pas un problème accessoire. Elle s’accompagne d’un plan d’action à long terme.
Cloud : informatique en nuage
Guide de la sécurité des données personnelles de 2024
La Cnil énonce que la sécurité des données incombe aux fournisseurs de service cloud. Ils doivent mettre en place des garanties suffisantes pour la mise en œuvre des mesures de sécurité.
Néanmoins, le guide rappelle que la sécurité des données appartient également au client.
Il lui incombe en effet d’évaluer et de vérifier le niveau de sécurité du fournisseur et ses éventuels prestataires.
Ainsi des précautions sont nécessaires, tel que :
- Chiffrer les données ;
- Porter attention aux accès et autorisations ;
- Authentifier les utilisateurs ;
- Réaliser des sauvegardes.
La conception et le développement d’application mobile
Guide de la sécurité des données personnelles de 2024
La Cnil rappelle que les applications mobiles impliquent le traitement de nombreuses données personnelles. Ainsi, pèsent sur les éditeurs une obligation de sécurisation des traitements et de transparence envers les utilisateurs.
Ils doivent notamment respecter le principe de minimisation des données. Ce dernier limite le traitement de données personnelles à ce qui est nécessaire au fonctionnement de l’application. Les précautions élémentaires comprennent notamment la sécurisation des communications et le stockage des secrets cryptographiques.
Le client doit quant à lui prendre en compte que le système d’exploitation puisse effectuer la sauvegarde automatique des données personnelles. Ainsi, il choisira de désactiver ces sauvegardes ou de chiffrer ses données.
Intelligence artificielle : conception et apprentissage
Guide de la sécurité des données personnelles de 2024
Le principal enjeu du développement de l’intelligence artificielle réside autours du volume important de données d’entrainement des systèmes. Il rend nécessaire la prise de mesures de sécurité spécifiques.
La Cnil préconise ainsi de vérifier la qualité des données et des annotations, la présence de biais et la fiabilité des sources de sonnées. Il convient également d’éviter les copies, partielles ou totales des bases de données. Il est souhaitable d’en restreindre l’accès et l’utilisation aux seules personnes habilitées.
API : interface de programmation applicative
Guide de la sécurité des données personnelles de 2024
La Cnil vient insérer une fiche sur les API. En effet, la Cnil rappelle qu’elles constituent une bonne pratique car elles permettent de fiabiliser, minimiser et sécuriser les échanges.
Néanmoins, elle énonce par la suite la nécessité de limiter le partage aux données strictement nécessaires. Elle recommande également de ne plus conserver actives d’anciennes versions d’API. Ces dernières sont en effet susceptibles de ne plus répondre au niveau de sécurité attendue.
La mise à jour des recommandations existantes
Guide de la sécurité des données personnelles de 2024
Outre l’introduction de nouvelles fiches, la Cnil met à jour ses recommandations existantes.
Le Guide de la sécurité des données personnelles de 2024 insiste sur la sensibilisation des utilisateurs. Le guide recommande en effet de mettre en place des exercices et des simulations d’incidents de sécurité information. Le but est de vérifier la bonne mise en œuvre des consignes et la pertinence des procédures internes.
La Cnil va également enrichir son guide avec l’introduction de recommandations concernant les pratiques de « bring your own device » ou BYOD. Elle préconise de ne l’autoriser qu’en fonction des risques identifiés. Un système de gestion des appareils mobiles (MDM) doit permettre de maitriser le niveau de sécurité des appareils se connectant à un réseau.
Concernant la protection du réseau informatique, la Cnil conseille de cloisonner le réseau afin de réduire l’impact en cas de compromission. Pour administrer les équipements de réseaux la Cnil préconise de choisir un protocole SSH ou un accès direct.
Pour la sécurisation des sites web, la Cnil recommande de sécuriser les flux d’échanges de données par l’utilisation de TLS (transport layer security).
Ce guide s’adresse aussi bien aux délégués à la protection des données qu’aux responsables de la sécurité des systèmes d’information ou aux juristes. Il convient de rappeler que le non-respect d’une obligation du RGPD peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial.
Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas.
Raphaël Liotier
Avocat, Directeur d’activité au sein du pôle Contentieux numérique
Raphaël Liotier
Avocat, Directeur d’activité au sein du pôle Contentieux numérique
- Phone:+33 (0)6 21 56 37 05
- Email:raphael-liotier@lexing.law
Pour en apprendre davantage
Notes de bas de page :
- Note 1
- Note 2
- Note 3