10 conseils Cnil pour sécuriser son système d’information ont été publié sur son site : « 10 conseils pour sécuriser votre système d’information ».
Ils s’inscrivent naturellement dans le cadre de la loi Informatique et libertés.
Pour mémoire, cette loi organise la gestion des données personnelles autour de quatre axes :
- les formalités préalables (déclarations normales, simplifiées, autorisations,…) ;
- le droit des personnes (droit à l’information, droit d’accès, droit de modification,…) ;
- les flux transfrontières de données ;
- la sécurité des traitements et de leurs données.Ce dernier axe relatif à la sécurité, bien trop souvent ignoré, repose essentiellement sur les articles 34 et 35 de la loi Informatique et libertés. L’article 34 de la loi dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. […] ». Pour sa part, l’article 35 vise les cas où le responsable du traitement sous-traite tout ou partie de ses traitements automatisés de données auprès d’un tiers et définit les relations entre le sous-traitant et le responsable du traitement, pour ce qui concerne la sécurité. Ces 10 conseils s’intègrent donc dans le cadre des conditions d’application des articles 34 et 35 de la loi.
Si la Commission s’est déjà prononcée de très nombreuses fois sur les questions de sécurité, lorsqu’un dossier ou un projet lui est soumis, c’est en revanche la première fois ou l’une des premières fois que la Commission se penche sur cette question en l’abordant selon une approche générale. S’agissant du statut du document lui-même, il s’agit de « conseils » et non d’une « délibération ». Ces « conseils » ne sont pas liants au plan juridique, mais leur portée ne sauraient être pour autant sous-estimée. A tout le moins, ces conseils s’intègrent dans ce qu’on pourrait qualifier de référentiel de « bonnes pratiques ». Ainsi, les entreprises, sans y être contraintes sont vivement invitées à suivre ces conseils de la Cnil, gardienne de la loi Informatique et libertés.
Sans entrer dans le détail de ces dix conseils, il convient de relever que le conseil n°2 « Concevoir une procédure de création et de suppression des comptes utilisateurs » doit être mis en place au sein des entreprise, mais également intégré dans la charte de l’utilisation des systèmes d’information. S’agissant des conseils n°9 et 10, respectivement « Anticiper et formaliser une politique de sécurité du système d’information » et « Sensibiliser les utilisateurs aux risques informatiques et à la loi informatique et libertés », ils imposent à l’entreprise de dépasser le stade de la simple charte et de passer à celui d’une véritable gouvernance de la sécurité au sein de laquelle on retrouvera la charte des personnels pour l’utilisation des systèmes d’information mais aussi la charte « administrateur», la charte « accès », ou encore la charte « Informatique et libertés ». De même que le conseil n°10 impose également le passage d’une gouvernance statique à une gouvernance dynamique à travers des plans de formations ou de sensibilisation encore bien peu nombreux dans les entreprises.
Pour plus d’informations, ces dix conseils seront abordés lors du petit déjeuner-débat le 18 novembre 2009 relatif à la sécurité des systèmes d’information.
(Mise en ligne Novembre 2009)
Autres brèves
- La biométrie fait son entrée dans l’entreprise : la Cnil rappelle les règles
-
(Mise en ligne Janvier 2007)
- La CNIL adopte trois autorisations uniques relatives aux techniques biométriques
-
(Mise en ligne Avril 2006)
- 26ème Rapport d’activité 2005 : La CNIL fait la synthèse de ses décisions en matière de biométrie
-
(Mise en ligne Mars 2006)
- Autorisation de deux dispositifs reposant sur la reconnaissance du contour de la main dans le cadre de contrôles d’accès à des cantines scolaires
-
(Mise en ligne Janvier 2006)