Guide de la sécurité des données personnelles de la Cnil : la référence pour les professionnels
Un guide pour aider les entreprises amenées à gérer des données personnelles
La CNIL (Commission nationale de l’informatique et des libertés), l’autorité administrative indépendante chargée de la protection des données, vient de publier l’édition 2023 de son guide de la sécurité des données personnelles.
Ce document de référence pour les entreprises s’adresse à l’ensemble des professionnels amenés à gérer des données personnelles. Le dirigeant d’entreprise, ainsi que ses équipes en charge de la protection des données et de la sécurisation de l’information, tels que :
Ce guide répond à deux objectifs :
- Identifier au mieux les risques auxquels une entreprise peut être confrontée,
- Donner des mesures concrètes pour réduire la probabilité qu’ils surviennent.
Il constitue une aide pour réaliser le recensement des traitements des données personnelles et identifier les risques engendrés par chaque traitement.
Le document est organisé autour de 3 actions clés :
- Recenser les traitements de données personnelles, qu’ils soient automatisés ou non (par exemple, les fichiers clients, les contrats), ainsi que les supports sur lesquels ces traitements reposent, tels que les matériels, les logiciels, les canaux de communication logiques ou physiques, ainsi que les supports papier.
- Apprécier les risques engendrés par chaque traitement : identifier les sources de risques, les impacts potentiels, les menaces réalisables, déterminer les mesures existantes ou prévues, estimer la gravité et la vraisemblance. La CNIL met à disposition un tableau récapitulatif pour vous aider à formaliser votre réflexion.
- Vérifier que les mesures prévues par l’entreprise sont effectivement appliquées et prendre en compte les recommandations de la CNIL.
Une grille d’auto-évaluation est proposée à la fin du guide pour faire le point sur son niveau de sécurité en matière de données personnelles.
Consulter le guide :
Guide Pratique RGPD – Sécurité des données personnelles (pdf ; 44 p. ; 495 ko)
17 fiches pour gérer les risques en matière de sécurité
Ce guide est divisé en 17 fiches dont chacune aborde un point visant à renforcer la fiabilité du système informatique et à améliorer le niveau de protection des données personnelles.
Fiche 1 – Sensibiliser les utilisateurs
Cette fiche rappelle la nécessité de sensibiliser les utilisateurs pour prévenir les comportements à risque en matière de protection des données personnelles.
Objectifs :
- Sensibiliser les utilisateurs des données personnelles de son entreprise à la nécessité de respecter les mesures prises pour limiter le risque de violation de la vie privée des personnes dont les données sont traitées.
- Documenter les procédures d’exploitation des données personnelles et les rendre accessibles à tous les collaborateurs concernés.
- Rédiger un règlement intérieur ainsi qu’une charte détaillant l’ensemble des mesures à prendre.
La fiche détaille les principaux éléments devant figurer dans la charte et fournit un exemple d’engagement de confidentialité pour les personnes ayant vocation à manipuler des données personnelles.
Fiche 2 – Authentifier les utilisateurs
Celle-ci actualise les recommandations de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe. La CNIL recommande différents niveaux de gestion des mots de passe selon le niveau de sécurité requis.
Objectifs :
- Actualiser les recommandations de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe.
- Détailler les niveaux de complexité nécessaires selon les cas.
Elle donne également quelques exemples de pratiques à privilégier et à éviter pour bien gérer ses mots de passe, par exemple pour vérifier la robustesse de ses mots de passe, utiliser des moyens mnémotechniques pour retrouver ses mots de passe, ou le fait d’utiliser des gestionnaires de mots de passe.
Fiche 3 – Gérer les habilitations
Cette fiche répertorie les 5 grandes précautions à prendre pour une bonne gestion des habilitations pour l’accès aux données. Vous y trouverez également 5 grandes erreurs à éviter.
Objectifs :
- Prendre des précautions dans la gestion des habilitations.
- Limiter les accès aux seules données dont un utilisateur a besoin.
Fiche 4 – Tracer les opérations et gérer les incidents
Cette fiche met l’accent sur l’importance de mettre en place des précautions élémentaires, notamment un système de journalisation.
Objectifs :
- Mettre en place un système de journalisation afin d’enregistrer les activités des utilisateurs, les interventions techniques, les anomalies de sécurité pour mieux gérer les incidents de sécurité.
- Trouver un équilibre entre la sécurité du système informatique et la protection de la vie privée des employés.
Il est rappelé qu’utiliser les données d’activités pour compter les heures travaillées est un détournement de finalité, sanctionné par la loi.
Fiche 5 – Sécuriser les postes de travail
Cette fiche rappelle les précautions indispensables à prendre pour garantir la sécurité des postes de travail, telles que la mise à jour fréquente des applications et logiciels.
Objectifs:
- Connaître les bonnes pratiques telles que la mise à jour des applications et des logiciels, l’utilisation d’un antivirus et la sauvegarde des données.
- Favoriser le stockage des données des utilisateurs sur un espace de stockage régulièrement sauvegardé accessible via le réseau interne de l’entreprise.
Cette fiche aborde aussi la question des supports de stockage amovibles dont l’utilisation doit être limitée car problématique en terme de sécurité.
Fiche 6 – Sécuriser l’informatique mobile
Cette fiche indique les précautions à prendre pour limiter les risques que fait peser télétravail sur la sécurité de l’entreprise.
Objectifs:
- Sensibiliser aux risques de la connexion non sécurisée.
- Mettre en place des solutions de sécurité appropriées telles que le chiffrement des données.
Il faut aussi éviter de sauvegarder des documents sensibles dans un service cloud qui n’a pas été validé par l’employeur.
Fiche 7 – Protéger le réseau informatique interne
La CNIL rappelle brièvement l’ensemble des mesures techniques à mettre en place pour assurer la protection des réseaux informatiques internes de l’entreprise. Cette fiche se concentre sur la dimension technique de la protection du réseau et s’adresse en priorité au responsable informatique.
Objectifs:
- Gérer les réseaux Wi-Fi en utilisant un chiffrement à l’état de l’art.
- Protéger le réseau informatique interne en mettre en place des mesures techniques telles que VPN et chiffrement.
Fiche 8 – Sécuriser les serveurs
La sécurité des serveurs est essentielle car ceux-ci centralisent un nombre très important de données. Cette fiche recommande des protocoles et logiciels à mettre en place pour limiter le risque d’infiltration de programme malveillant.
Objectifs :
- Utiliser des logiciels de détection et de suppression de programmes malveillants régulièrement mis à jour.
- Être vigilant sur les services utilisés : désinstaller ou désactiver les services et interfaces inutiles.
Fiche 9 – Sécuriser les sites web
Les sites web ont également des normes de sécurité spécifiques. Cette fiche revient sur les protocoles à utiliser ainsi que sur le principe de minimisation des cookies et de recueil du consentement.
Objectifs :
- Utiliser les normes de sécurité spécifiques aux sites web (ex : protocole TLS).
- Respecter le principe de minimisation des données collectées par les cookies.
Cette fiche conseil aussi de limiter les informations renvoyées lors de la création d’un compte utilisateur ou lors de la réinitialisation d’un mot de passe.
Fiche 10 – Sauvegarder et prévoir la continuité d’activité
En cas de cyberattaque ou de problème technique, disposer d’une sauvegarde de secours est nécessaire.
Objectifs :
• Respecter les bonnes pratiques de sauvegarde des données telles que l’isolement d’au moins une sauvegarde hors ligne, déconnectée du réseau de l’entreprise.
• Effectuer des sauvegardes fréquentes.
L’intérêt de ne pas conserver les sauvegardes sur les mêmes systèmes que les données sauvegardées mais de les isoler participe à la prévention contre les menaces informatiques de type rançongiciel qui s’attaquent aussi bien aux données qu’à leurs sauvegardes.
Fiche 11 – Archiver de manière sécurisée
Cette brève fiche rappelle les précautions à prendre lorsqu’on souhaite archiver des données. L’une d’entre elles est par exemple de mettre en œuvre des modalités d’accès spécifiques aux données archivées. Elle comprend également des exemples de pratiques à éviter, comme l’utilisation de supports ne présentant pas une garantie de longévité suffisante (CD et DVD).
Objectifs :
- Mettre en œuvre des modalités d’accès spécifiques aux données archivées.
- Définir un processus de gestion des archives.
- Utiliser des supports présentant une garantie de longévité suffisante (disques durs externes, clés USB).
Fiche 12 – Encadrer les développements informatiques
Cette fiche donnes des exemples de précaution à prendre lorsqu’une entreprise souhaite faire du développement informatique.
Objectifs :
- Prendre en compte la protection des données dès le début d’un projet, par exemple dans le cadre du développement d’une application.
- Combiner plusieurs mesures de sécurité.
Cette fiche conseille aussi d’utiliser des données fictives pour les phases de développement et de test.
Fiche 13 – Encadrer la maintenance et la fin de vie des matériels et logiciels
Une mauvaise gestion des matériels et logiciels en fin de vie est une dimension de la protection des données rarement mise en avant, mais non moins essentielle.
Objectifs :
- Sensibiliser aux bonnes pratiques comme le fait de ne pas laisser un accès complet ou permanent aux systèmes pour la télémaintenance.
- Effacer préalablement les données des matériels destinés à être donnés ou mis au rebut.
Fiche 14 – Gérer la sous-traitance
Cette fiche donne des conseils pratiques sur le choix des sous-traitants.
Objectifs :
- Choisir des sous-traitants présentant les garanties de sécurité suffisantes.
- S’assurer que le contrat contient un certain nombre de dispositions.
Cette fiche conseille également de prévoir les moyens permettant de vérifier l’effectivité des garanties offertes par le sous-traitant en matière de protection des données (par exemple : audits de sécurité, visite des installations).
Fiche 15 – Sécuriser les échanges avec d’autres organismes
Cette fiche rappelle les mesures à prendre pour sécuriser les échanges.
Objectifs :
- Chiffrer les données avant leur enregistrement sur un support physique à transmettre à un tiers (par exemple, clé USB, disque dur portable, disque optique).
- Utiliser un protocole garantissant la confidentialité et l’authentification du serveur destinataire pour les transferts de fichiers.
L’une des pratiques a éviter est de transmettre des fichiers contenant des données personnelles en clair via des messageries et autres plateformes grand public.
Fiche 16 – Protéger les locaux
Cette fiche détaille les principales mesures à prendre pour sécuriser les locaux de l’entreprise.
Objectifs :
- Distinguer les zones des bâtiments selon les risques.
- Prévoir un contrôle d’accès dédié pour la salle informatique.
- Installer des alarmes anti-intrusion, des détecteurs de fumée ainsi que des moyens de lutte contre les incendies.
Fiche 17 – Chiffrer, hacher ou signer
Cette fiche précise les algorithmes qui doivent être utilisés pour chiffrer ou hacher des données confidentielles. Le chiffrement est un procédé de cryptographie qui permet de rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de chiffrement.
Objectifs :
- Rédiger une procédure indiquant la manière dont les clés et certificats vont être gérés.
- Appliquer les recommandations d’utilisation appropriées.
Cette fiche recommande les algorithmes à utiliser et ceux à éviter.
En savoir plus
.