CNIL, guide de la sécurité des données personnelles
Les responsables de traitement et les sous-traitants sont soumis à une obligation de sécurité en vertu des articles 5 et 32 du RGPD. Pour répondre à cette exigence, ils doivent donc mettre en œuvre un ensemble de mesures techniques et organisationnelles. Afin de les aider dans cette démarche, la CNIL publie depuis plusieurs années un guide de la sécurité des données personnelles, composé de diverses fiches thématiques, régulièrement actualisé. La dernière version de ce guide, parue en mars dernier, présente plusieurs améliorations.
Cinq nouvelles fiches (numéro 1, 22, 23, 24 et 25) ont été ajoutées. Si la première traite d’un sujet plus global, puisqu’elle vise à assurer la mise en place et le maintien dans la durée de la sécurité des données en prévoyant notamment une prise en compte de ce sujet dans les processus de décision des organismes, les dernières abordent des enjeux actuels.
En effet, la fiche 22 porte sur le Cloud, à cette occasion la CNIL rappelle notamment que le fournisseur de service et le client ont une responsabilité partagée qui doit être formalisée dans un contrat, qu’une cartographie des données et des traitements dans le cloud doit être créée, qu’une politique d’habilitation stricte doit être mise en œuvre, que les données au repos et en transit doivent être chiffrées et qu’une méthode de gestion des clés cryptographiques appropriée doit être prévue.
La fiche numéro 23 est quant à elle dédiée à la conception et au développement des applications mobiles. La CNIL insiste, entre autres, sur l’importance du principe de minimisation, de la sécurisation des échanges de données, au moins pour les serveurs, via l’utilisation des canaux TLS conformément aux instructions de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Elle encourage également à privilégier les fonctionnalités de sécurité matérielles disponibles sur les appareils mobiles pour stocker les secrets cryptographiques.
La fiche 24 traite de la conception et de l’apprentissage des systèmes d’intelligence artificielle en mettant en avant des aspects tels que la qualité des données utilisées pour entraîner les modèles d’IA, ou encore la mise en œuvre d’une procédure obligatoire pour le développement et l’intégration continus.
Enfin, la fiche 25 concerne les interfaces de programmation applicative (API) qui permettent d’échanger des données. Afin de sécuriser correctement les échanges, la CNIL encourage à identifier les acteurs et leur rôle fonctionnel pour organiser le périmètre des habilitations, à tenir des journaux détaillés afin de tracer les échanges et détecter tout comportement inhabituel, à respecter le principe de minimisation et à maintenir une documentation à jour. Cette actualisation du guide traduit donc une prise en compte des nouveaux risques pour la protection des données.
En outre, la CNIL a renforcé les recommandations en termes de sensibilisation et de formation en matière de sécurité informatique, elle a fourni des directives plus précises concernant le stockage des mots de passe, l’utilisation de gestionnaires de mots de passe, et l’interdiction des pratiques risquées telles que la conservation de mots de passe en clair. Ces évolutions témoignent de la nécessité d’adapter les pratiques et les politiques de sécurité pour faire face aux défis émergents qui pèsent sur la protection des données personnelles.